Consejo para banear ip numero de intentos.

Buenas de nuevo a todos. Me gustaria que me diesen un consejo. He creado una función que me controla el numero de intentos de acceso de una ip a la aplicación. Esta función está creada para evitar los intentos de ataque por fuerza bruta. Ahora bién también puede ser un usuario que sea muy muy muy muy rematadamente torpe y he pensado en darle según el contador que tengo en la bd un numero de intentos, Mi pregunta es cuantos intentos se le podría dar?

He puesto 15 para probar a los 15 banea la ip... son pocos o muxos o está bien¿?

Que me recomendais?

muchas gracias de nuevo

Hola:

Este foro tiene un sistema de login que me pareció muy bueno. Cuando yerras la contraseña te indica cuantos intentos te quedan, al estilo "Intento 1 de 5". Creo que puede utilizar algo similar para advertir a los usuarios torpes.
Por otro lado, todo ataque por fuerza bruta intentará ser lo más rápido posible para probar mayor cantidad posible de contraseñas en el menor tiempo. Puedes utilizar esto para discriminar un usuario de una máquina. No es lo mismo detectar 5 intentos fallidos en 30 segundos que 10 en uno!
Finalmente se me ocurre que puedes disciminar un usuario torpe de un algoritmo de fuerza bruta con otro chequeo. Un usuario torpe normalmente intentará introducir la misma contraseña varias veces, por más que sea incorrecta. Un algoritmo de fuerza bruta jamás haría algo así! Puedes "descartar" del conteo de logins errados aquellos que tengan contraseñas erroneas repetidas.

Salu2!

Gracias por la respuesta shandrio, siento no haber podido contestar antes. como se puede intentar 10 intentos fallidos en 10 segundos? Es imposible tiene que meter user y pass y le sale el mensaje de error si no...

En cuanto a lo de los usuarios torpes creo que lo hare así como dices detectarlos con un trozo de script que me diga si las contraseñas son repetidas.

Pero mi duda es cuantos intentos fallidos debería poner hasta que los banee?

10,? 15? 20,? 25,? 30,? una idea por favor.

Gracias de nuevo a todos

Estas pensando como un humano! :D Una máquina no tiene que "tipear" el nombre de usuario y contraseña ni leer una página completa para "darse cuenta" que el usr/pass no fue aceptado. Con solo "saber" que respuesta obtendrá del servidor cuando haya tenido éxito puede probar cientos de contraseñas en segundos. Recuerda además la concurrencia. Un máquina puede estar probando todos los logins que quiera "simultaneamente" en procesos o hilos separados!

Respecto a la cantidad, queda a criterio de cada uno. Debe elegirse según cuan crítico es el sistema que quieras proteger. Como estándares podría citarte los de los cajeros automáticos, login de windows, etc. que son 3 los intentos fallidos que sopotan. Este foro por ejemplo te deja errar 5 veces. Si quieres mi opinión personal: 5 suena lógico y suficiente. Si un usuario está leyendo que le quedan 4, 3, 2, 1 intento fallidos y se le advirte de antemano que no va a poder loguearse más si se le acaban todos los intentos, no va a ser tan tonto de seguir intentando hasta el final!!

Recuerda también otorgarle al usuario "súper torpe" la posibilidad de quitar su IP de la lista negra. Cuando una IP haya sido bloqueada deberás advertirle apropiadamente y darle una dirección de correo u otro medio para poder contactar a un administrador para que la desbloquee, o en su defecto algún proceso automático seguro (CAPTCHA http://www.captcha.net/ es una excelente método para distinguir humanos de máquinas).

Salu2!

muchas gracias de nuevo shandrio ya he puesto los 5 intentos, y también implementaré lo del captcha :) un saludo