Ik ben bezig met een stukje beveiliging op mijn site. Nu word er heel vaak gesproken over het feit dat je een user moet identificeren met zijn IP-adres. Maar stel nu dat je een gebruiker een half uur geen toegang geeft tot je site omdat hij bijv. 20 foutieve login pogingen heeft gedaan. Wat nu als deze gebruiker in een bedrijfs/school netwerk zit? Dan word het hele netwerk geblokkeerd.
Nu vroeg ik me af of het ook mogelijk is om een soort uniek nummer van een computer of browser op te vragen, een soort MAC adres idee. Of heeft iemand een andere manier om te voorkomen dat een volledig netwerk word geblokeerd.
@hertog:
Op het moment dat een hacker dan zijn user agent gaat aanpassen is hij om het hele systeem heen. en kan hij door blijfen gaan zo lang hij wil aangezien het systeem dan steeds denkt dat het een andere computer in het netwerk is. Daarnaast binnen schoolnetwerken word overal dezelfde browser gebruikt.
@ward:
De gebruikersnamen zijn gelijk aan de leerlingnummers op onze school, en die zijn via het roostersysteem voor iedereen toegankelijk
@Matthijs, Zowel ip, tijd, gebruikersnaam, etc. wordt opgeslagen in een tabel 'attempts'. Weet niet meer precies of het alleen op de gebruikersnaam vertraagt of ook als je andere gebruikersnamen probeert.
Ook zou je nog iets met een captcha kunnen doen dat je deze toont na 3 foute inlogpogingen, hiermee voorkom je ook aanvallen en gebruikers haken dan ook vaak wel af. Zelf heb ik niet zoveel met captcha's en gebruik ze zelf nergens.
@Jan, wat bedoel je met browser hashen, de User agent? Deze kun je simpel aanpassen dus kan je hier iets voor maken dat je elke seconde een andere user agent hebt. Dit is geen betrouwbare waarde.
Met IP's/Proxy kun je ook wel het één ander doen, maar daarom blijft het ook een discussie wat nou de goede manier is.
@matthijs, ja jij vraagt een uniek ID van de gebruiker. Aan de hand van de browser en ip heb je een zon uniek mogelijk ID. Dat het betrouwbaar is nee, maar dat is een IP ook niet.
En binnen een netwerk hoeft niet iedereen dezelfde browser te hebben. Zo zit de ene op een mac, andere op windows, weer een andere op eigen laptop etc etc
@Hertog
Nee binnen een netwerk niet nee. Maar ik doel eigenlijk meer op de grote netwerken als school en bedrijfsnetwerken. Hier word door een systeembeheerder vaak overal dezelfde browser geinstaleerd.
Wat is volgens jou een goede check voor login beveiliging dan?
@Hertog
Nee binnen een netwerk niet nee. Maar ik doel eigenlijk meer op de grote netwerken als school en bedrijfsnetwerken. Hier word door een systeembeheerder vaak overal dezelfde browser geinstaleerd.
Wat is volgens jou een goede check voor login beveiliging dan?
Valt je tegen, heb je gelezen wat ik heb gezegd? Neem de school waar ik op zit of waar ik op gezeten heb. Studenten en docenten nemen eigen laptop mee. De ene heeft een windows, de andere een macbook. De bestaane computers, ene lokaal heeft bijvoorbeeld weer windows, andere weer imac. En denk ook eens aan tablets, telefoons. Allemaal verschillende browsers en allemaal op 1 netwerk.
Wat ik een goede beveiliging vind? Ik zou gewoon de gebruiker waarop ingelogd is blokkeren voor 10 a 15 min of dergelijke.
