Sistema de LOGIN definitivo

fbedia · #1 (**permalink**) 31/07/2014, 06:26

Muy buenas!

He creado desde 0 un sistema de LOGIN que me gustaría que revisaran!
Creo que es 100% seguro e impenetrable, aunque quizás aún se pueda mejorar más?? alguna validación que me falte o me sobre??

Quiero que si el usuario realiza 10 intentos de login fallidos... que el sistema le bloquee durante 10 minutos. Para hacer esto, uso una variable de sesion.
No estoy puesto en temas de fuerza bruta... pero ¿quizas un programa de estos pueda realizar un intento de inicio de sesion... despues matar la sesion... y hacer otro? De esta forma se saltaria la comprobacion echa.... :(

Bueno... os dejo el código y quedo a la espera de sus comentarios.
Tengan en cuenta que los echo "---"; son meras trazas...

Saludos!

Código PHP:

Ver originalif(isset($_POST['start'])) {
    // Comprobamos si existe la variable intentos_start
    if(isset($_SESSION['intentos_start'])) {
        if($_SESSION['intentos_start']<10) {
            $_SESSION['intentos_start']=$_SESSION['intentos_start']+1;
        }
    } else {
        $_SESSION['intentos_start']=1;
    }
    
    if($_SESSION['intentos_start']==10) {
        // Establezco el tiempo para proximo intento
        $hora = strtotime('+10 minutes');  
        $_SESSION['time_to_start']=$hora;
        $_SESSION['intentos_start']=$_SESSION['intentos_start']+1;
        echo "<p>HAS ALCANZADO EL MAXIMO DE INTENTOS... ESPERA 10 MINUTOS</p>";
    } else {
        if($_SESSION['intentos_start']>10) {
            // Comprobamos si ya ha esperado el tiempo suficiente
            $hora = strtotime('now');
            if($hora>$_SESSION['time_to_start']) {
                // Si la hora es mayor, es que ya ha esperado el tiempo suficiente para volver a intenarlo
                // Al resetear la variable intentos_start entrara en el bucle de CONSULTA A BD
                $_SESSION['intentos_start']=1;
            } else {
                // Aun no ha esperado lo suficiente
                $tiempo_restante_seg = $_SESSION['time_to_start']-$hora;
                $tiempo_restante_min = $tiempo_restante_seg/60;
                echo "<p>tienes que esperar todabia ".substr($tiempo_restante_min,0,1)." minutos</p>";
            }
        }
        if($_SESSION['intentos_start']<10) {
            // Realizamos la comprobacion del login
            // 1º Comprobamos la recepcion del usuario y password
            if(isset($_POST['password']) && isset($_POST['username'])) {
                //2º Escapamos los valores recibidos
                $username=addslashes($_POST['username']);
                $password=addslashes($_POST['password']);
                //3º Comprobamos la longitud que debe estar entre 2 y 25 caracteres el usuario y minimo 4 la password
                $long_username=strlen($username);
                $long_password=strlen($password);
                if(($long_username<2)||($long_username>25)||($long_password<4)||($long_password>25)) {
                    echo "<p>LONGITUD INVALIDA USUARIO Y PASSOWRD</p>";
                } else {
                    // Comprobamos que solo haya numeros o letras
                    if((preg_match("/^[0-9a-zA-Z]+$/", $username))&&(preg_match("/^[0-9a-zA-Z]+$/", $password))) {
                        // Llegados a este punto, no seria necesario hacer un mysqli_real_escape_string... 
                        // pero se lo hare por prevenir:
                        $username=mysqli_real_escape_string($link_db,$username);
                        // Consultamos el usuario en la BD
                        $query_usuario = mysqli_query($link_db,"SELECT password FROM usuarios WHERE nickname='$username'");
                        // Comprobamos que exista el usuario
                        $existe_usuario=mysqli_num_rows($query_usuario);
                        if($existe_usuario==1) {
                            $row1 = mysqli_fetch_array($query_usuario, MYSQLI_ASSOC);
                            // Comprobamos que la password coincida con la recibida del form
                            if($row1['password']==md5($password)) {
                                // Login success
                                // Asignamos las variables de sesion... permisos... oportunos:
                                echo "usuario y pass correctos....";
                            } else {
                                echo "PASSWORD INCORRECTA";
                            }
                        } else {
                            echo "EL USUARIO NO EXISTE $username";
                        }
                    } else {
                        echo "CARACTERES NO ADMITIDOS";
                    }
                }
            } else {
                echo "<p>NO SE RECIBIO USUARIO Y PASSOWRD</p>";
            }
        }
    }
}

y el form:

Código HTML:

Ver original<form action="procesar" method="post">
                                        <div class="form-group">
                                            <input type="text" class="form-control" id="username" name="username" title="Usuario" placeholder="Usuario" />
                                        </div>
                                        <div class="form-group">
                                            <input type="password" class="form-control" id="password" name="password" title="Password" placeholder="Password" />
                                        </div>
                                        <ul class="list-unstyled pull-left">
                                            <li><a href="#">Recuperar password</a></li>
                                            <li><a href="#">Crear cuenta</a></li>
                                        </ul>
                                        <button type="submit" name="start" class="btn btn-custom pull-right">Start</button>
                                    </form>

thedaket · #2 (**permalink**) 31/07/2014, 09:38

a mi humilde opinión creo que algunas validaciones bien podrían estar en javascript para no estar escribiendo HTML en PHP.

OJO no digo que no haya una validación de vacíos

Con esto evitarías estar haciendo POST y por ende hacer esperar al usuario solo para saber que no escribió nada

De ahí en fuera creo que esta bien ya que estas limpiando bien las cadenas para evitar SQL injection pero y de ataques XSS jajaja naaaa es broma eso es algo más complicado.

Suerte

ocp001a · #3 (**permalink**) 31/07/2014, 10:26

Revisas que usuario y contraseña solo contengan números y letras, sin embargo, estás olvidando la seguridad que brinda una contraseña que contenga caracteres especiales, y haces hash con md5, cuando actualmente se recomienda usar blowfish.

En mi opinión (y es sólo eso, una opinión) si usaras PDO con consultas preparadas y hash en blowfish, sería mucho más seguro.

Además, no estaría mal si quieres evitar ataques por fuerza bruta, que revises la ip del usuario, para evitar que de una misma ip intenten entrar con diferentes usuarios.

fbedia · #4 (**permalink**) 01/08/2014, 02:05

Gracias por los comentarios!

Cita:

a mi humilde opinión creo que algunas validaciones bien podrían estar en javascript para no estar escribiendo HTML en PHP.

OJO no digo que no haya una validación de vacíos

Con esto evitarías estar haciendo POST y por ende hacer esperar al usuario solo para saber que no escribió nada

De ahí en fuera creo que esta bien ya que estas limpiando bien las cadenas para evitar SQL injection pero y de ataques XSS jajaja naaaa es broma eso es algo más complicado.

Suerte

Tienes razón, seguramente lleve el sistema a XAJAX ;)

Cita:

Revisas que usuario y contraseña solo contengan números y letras, sin embargo, estás olvidando la seguridad que brinda una contraseña que contenga caracteres especiales, y haces hash con md5, cuando actualmente se recomienda usar blowfish.

En mi opinión (y es sólo eso, una opinión) si usaras PDO con consultas preparadas y hash en blowfish, sería mucho más seguro.

Además, no estaría mal si quieres evitar ataques por fuerza bruta, que revises la ip del usuario, para evitar que de una misma ip intenten entrar con diferentes usuarios.
Ayer 09:38

Había pensado en lo de la contraseña.... y la verdad que por no complicarme lo deje así! Voy a tratar de incluir también caracteres no alfanuméricos.

Ok también a lo de md5.. Echare un vistazo a la encriptacion que me comentas.
En otras ocasiones he usado una combinación de varias, como md5(sha1("$password"))...

Lo de restringir la IP a un solo usuario no me convence mucho la verdad....
Seria raro que se de el caso, pero hay posibilidades de que 2 o más usuarios conecten desde una misma IP... por ejemplo si estan entrando desde una misma red wiffi, como la biblioteca, centro comercial, empresa...etc

Eleazan · #5 (**permalink**) 01/08/2014, 03:13

Veo un fallo "grave", que te diga si el usuario es erróneo, o la contraseña. El mensaje debería ser el mismo para ambos casos. ¿Pq decirle si ese usuario existe o no?

Otra, el "bloqueo" va por sesión. ¿Y si inicio con otro navegador? ¿Una ventana de incógnito? Podría saltarme el bloqueo, y seguir probando contraseñas hasta dar con ella...

No me parece lo más acertado

HackID1 · #6 (**permalink**) 01/08/2014, 05:23

Bueno ya te han comentado igual varias mejoras que había visto en el código, aunque claro poco a poco seguro lo mejoras :) .
-Lo que si veo importante es lo de permitir contraseñas con Caracteres especiales y mostrar el mensaje de error igual tanto cuando se equivoca en usuario o en contraseña.

Saludos y buen login. !!!.

fbedia · #7 (**permalink**) 04/08/2014, 02:14

Hola!

Finalmente añadi un bloqueo por IP.
Al llegar a los 10 intentos, capturo la IP del usuario y la añado a una tabla de bloqueos de IP... (dicha tabla la consulto al inicio de cada conexion)
Simplemente añadi:

Código PHP:

Ver original$query_bloqueo_ip = mysqli_query($link_db,"
            INSERT INTO black_ips (ip,motivo,id_usuario,timestamp) VALUES (
            '$global_ip_usuario',
            'Has alcanzado el n&uacute;mero m&aacute;ximo de intentos en el inicio de sesi&oacute;n.',
            1,
            $hora
            )");

Cambie tambien la expresion regular para la password, de forma que permita lo siguientes caracteres:
# @ ! - $ & ? _
codigo:

Código PHP:

Ver originalpreg_match("/^[0-9a-zA-Z#@!-$&?_]+$/", $password)

Duda: ¿es correcta mi expresion regular?
He realizado alguna prueba y creo que si... pero la verdad que no se me dan muy bien las expresiones regulares y quizas se me escape alguna cosa o se pueda mejorar...

Por ultimo, los mensajes de error distintos para "usuario incorrecto" y "password incorrecto" que me comentáis, estan asi simplemente para las pruebas.... Una vez lo publique dejare el mismo mensaje de "usuario o password incorrectos".

Saludos

ocp001a · #8 (**permalink**) 06/08/2014, 18:13

Sería bueno que mostraras cómo revisas si la ip ya tiene x intentos, ya que por medio de la ip podrían inyectarte código sql si no filtras el valor de la ip.

bookmaster · #9 (**permalink**) 07/08/2014, 00:55

Sobre el tema de bloquear las IP's, te puedo decir por experiencia, que te hacen el ataque desde diversas IP's a la vez ya que usan proxys.

He llevado un seguimiento de por donde han tratado de entrar en una de las webs que llevo y generan mas de 10 intentos en menos de 5 segundos al mismo, probé a bloquearlas desde SQL, .htacess, y tal pero es tontería por lo que te acabo de comentar.

La mejor opción es bloquear la cuenta directamente cuando superen dicho número de intentos, y después de un cierto tiempo desbloquearla, por si el usuario real quiere volver a entrar.

Otra opción es controlar la ubicación del que trata de acceder, tipo lo que hace google, si por ejemplo te conectas siempre desde la ubicación X, y un día de buenas a primeras tras diferentes intentos se conecta desde una ubicación Y, bloqueas la cuenta en el momento, cambias la contraseña automáticamente generando una aleatoria y le mandas un mail a la cuenta de correo con la que se registró dicho usuario con un aviso de que su cuenta a sido comprometida y los pasos para modificar la contraseña.

fbedia · #10 (**permalink**) 07/08/2014, 02:30

Gracias por las respuestas!

Cita:

Iniciado por ocp001a

Sería bueno que mostraras cómo revisas si la ip ya tiene x intentos, ya que por medio de la ip podrían inyectarte código sql si no filtras el valor de la ip.

En primer lugar, la IP la obtengo de la siguiente forma:

Código PHP:

Ver originalif (!empty($_SERVER['HTTP_CLIENT_IP'])) { $global_ip_usuario = $_SERVER['HTTP_CLIENT_IP']; } else {
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $global_ip_usuario = $_SERVER['HTTP_X_FORWARDED_FOR']; } else {
    $global_ip_usuario = $_SERVER['REMOTE_ADDR']; } }

La IP la tengo siempre accesible en la variable $global_ip_usuario;

En el código que postee al principio, hay una parte que cuando llegas a los 10 intentos te bloquea la posibilidad de login por sesion.... ahi simplemente he añadido un INSERT INTO a una tabla con Ips bloqueadas:

Código PHP:

Ver original$hora = strtotime('+10 minutes'); 
 
$query_bloqueo_ip = mysqli_query($link,"
            INSERT INTO black_ips (ip,motivo,id_usuario,timestamp) VALUES (
            '$global_ip_usuario',
            'Has alcanzado el n&uacute;mero m&aacute;ximo de intentos en el inicio de sesi&oacute;n.',
            1,
            $hora
            )");

Una vez añado la IP a la lista negra, si esta intenta acceder la bloqueo!

Tengo un fichero "seguridad.php" que esta a modo de include(); en la primera linea de todos mis ficheros... Este tiene una parte al principio del todo donde hago lo siguiente:

Código PHP:

Ver original// compruebo lista negra de IPs antes de continuar con los links a las BD
    // primero saco la IP del usuario
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) { $global_ip_usuario = $_SERVER['HTTP_CLIENT_IP']; } else {
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $global_ip_usuario = $_SERVER['HTTP_X_FORWARDED_FOR']; } else {
    $global_ip_usuario = $_SERVER['REMOTE_ADDR']; } }
    
    $hora_actual = strtotime('now');
    $result = mysqli_query($link, "SELECT black_ips.motivo,usuarios.nickname,black_ips.timestamp  
    FROM black_ips, usuarios 
    WHERE black_ips.ip='$global_ip_usuario' 
    AND black_ips.id_usuario=usuarios.id_usuario 
    AND black_ips.timestamp>$hora_actual");
    $contador_result = mysqli_num_rows($result);
    if($contador_result>=1) {
        $global_errores = 1;
        $global_error_txt = "<p>SU DIRECCI&Oacute;N IP <b>$global_ip_usuario</b> SE ENCUENTRA EN LA <b>LISTA NEGRA</b>:</p>";
        while($row=mysqli_fetch_array($result)) {
            $global_error_txt .= " - <b><span style='color:red'>@".$row[1]."</span></b> a&ntilde;adio el siguiente motivo: 
                                <b><i>".$row[0]."</i></b><br/>";
            $horas_restantes_bloqueo = (($row[2]-$hora_actual)/60)/60;
            $global_error_txt .= "[$horas_restantes_bloqueo horas restantes para la eliminaci&oacute;n de este bloqueo]<br/><br/>";
        }
    } else {
        //este 'else' indica que no se encuentra en la lista negra de IPs... asi que continuamos:

Cita:

Iniciado por bookmaster

Sobre el tema de bloquear las IP's, te puedo decir por experiencia, que te hacen el ataque desde diversas IP's a la vez ya que usan proxys.

He llevado un seguimiento de por donde han tratado de entrar en una de las webs que llevo y generan mas de 10 intentos en menos de 5 segundos al mismo, probé a bloquearlas desde SQL, .htacess, y tal pero es tontería por lo que te acabo de comentar.

La mejor opción es bloquear la cuenta directamente cuando superen dicho número de intentos, y después de un cierto tiempo desbloquearla, por si el usuario real quiere volver a entrar.

Otra opción es controlar la ubicación del que trata de acceder, tipo lo que hace google, si por ejemplo te conectas siempre desde la ubicación X, y un día de buenas a primeras tras diferentes intentos se conecta desde una ubicación Y, bloqueas la cuenta en el momento, cambias la contraseña automáticamente generando una aleatoria y le mandas un mail a la cuenta de correo con la que se registró dicho usuario con un aviso de que su cuenta a sido comprometida y los pasos para modificar la contraseña.

Gracias! Creo que si que es buena idea lo que comentas.
Actualmente tengo una tabla donde almaceno las ultimas 10 IPs con las que ha accedido un usuario... y el propio usuario lo puede ver desde su perfil.

Aun tengo que dar una vuelta a tu comentario para ver como lo hago, pero lo primero que se me viene a la cabeza es crear una nueva columna que ponga "intentos_login_fallidos" y que sume 1 cada vez que falla el login....
Si este valor llega a 10: bloquear la cuenta, y enviar email al usuario para desbloquearla mediante la generacion de nueva password.
Tambien hacer que si son 5 intentos fallidos seguidos... bloquear BIS a lo anterior.

Un saludo.

ocp001a · #11 (**permalink**) 07/08/2014, 14:52

$query_bloqueo_ip = mysqli_query($link,"
INSERT INTO black_ips (ip,motivo,id_usuario,timestamp) VALUES (
'$global_ip_usuario',

Aquí, por experiencia te digo, pueden acceder indicando ya no una ip falsa, si no una ip imposible, por ejemplo ' or 1=1, es decir, si no filtras dicha ip, podrían estar inyectando código

fbedia · #12 (**permalink**) 08/08/2014, 01:32

Ten en cuenta que la IP la obtengo usando $_SERVER[...]
¿En serio es posible modificar tu IP por un "string" cualquiera? (Interesante.....)
Buscare por google aunque si tienes más info al respecto agradecería me la enviases!

Por si acaso usare una expresión regular para validar la IP. No esta de más.

Gracias!

JM0N · #13 (**permalink**) 09/08/2014, 04:58

Te recomiendo que después de mostrar "Contraseña incorrecta", etc utilices exit(); para que el programa no se siga ejecutando.