restringir login

hola!

supongo que para el login chequeas usuario y clave contra un un servidor de
datos
tal vez alli podrias tener el estado de bloqueado o no y hora de ultimo
intento de login (con exito o no)... luego buscando el usuario a loguerarse y
por diferencia de hora actual y hora de ultimo intento de login podrias
desbloquear al usuario, una vez logueado lo dejas en estado de desbloqueado...

esta tecnica bloquea un usuario independientemente de la ip en que se este
logueando... es decir si bloqueas un usuario... no podra ingresar desde
ninguna ip hasta que se desbloquee..

hay modificaciones a esta idea... como combinar usuario + ip, etc etc
espero te sirva...

salu2!

pablo


"Luis Ramírez" escribió:

Hola grupo:
Tengo la siguiente inquietud:
En una página de logeo, se require restringir el numero de intentos de
login, hacerlo en una sola sesión no presenta dificultad, el asunto es que
se quiere q bloquee una direccion IP por un par de minutos (al menos) con
esto surge otro problema, muchos de nuestros ususarios estan dentro de un
ISP con IP Dinamica o con el mismo gateway, con lo cual el identificar de
forma única a un visitante tambien es tedioso, surgio la idea de cookies
pero en ocaciones estan bloqueadas en el explorer del usuario.
Estoy intentando un solucion q combine las tres opciones (Sesion, Direccion
IP, Cookie), pero igual les pregunto para conocer otras opcionbes, ideas o
sugerencias

Saludos desde Costa Rica

Luis Ramírez

Bueno suena bien, pero que pasa si es alguien que
intenta entrar al site por fuerza bruta?? bloquearias el
sistema??

Saludos !!

"pablo crosio" escribió en el
mensaje news:

hola!

supongo que para el login chequeas usuario y clave contra un un servidor

de

datos
tal vez alli podrias tener el estado de bloqueado o no y hora de ultimo
intento de login (con exito o no)... luego buscando el usuario a

loguerarse y

por diferencia de hora actual y hora de ultimo intento de login podrias
desbloquear al usuario, una vez logueado lo dejas en estado de

desbloqueado...

esta tecnica bloquea un usuario independientemente de la ip en que se este
logueando... es decir si bloqueas un usuario... no podra ingresar desde
ninguna ip hasta que se desbloquee..

hay modificaciones a esta idea... como combinar usuario + ip, etc etc
espero te sirva...

salu2!

pablo


"Luis Ramírez" escribió:

> Hola grupo:
> Tengo la siguiente inquietud:
> En una página de logeo, se require restringir el numero de intentos de
> login, hacerlo en una sola sesión no presenta dificultad, el asunto es

que

> se quiere q bloquee una direccion IP por un par de minutos (al menos)

con

> esto surge otro problema, muchos de nuestros ususarios estan dentro de

un

> ISP con IP Dinamica o con el mismo gateway, con lo cual el identificar

de

> forma única a un visitante tambien es tedioso, surgio la idea de cookies
> pero en ocaciones estan bloqueadas en el explorer del usuario.
> Estoy intentando un solucion q combine las tres opciones (Sesion,

Direccion

> IP, Cookie), pero igual les pregunto para conocer otras opcionbes, ideas

o

> sugerencias
>
> Saludos desde Costa Rica
>
> Luis Ramírez
>
>
>

hola!

como exprese... hay alternativas realmente no realice un analisis
exhausitvo de la cuestion

en principio el bloqueo seria por 2 minutos... como se planteo se podria
detectar la "insistencia" del usuario al intentar loguearse fallidamente...
ahi bloquear la / las ips definitivamente para el usuario

por ultimo se podria hasta bloquear al usuario mismo indefinidamente

en este caso y quizas el anterior... se podria enviar un aviso al usuario
(si es que se tiene un mail registrado del usuario en el servidor) hay
veces que incluso es bueno cambiar hasta tu usuario y recomiendo que
nadie tenga como nombre de usuario nombres tan sencillos como "pepe" o
"cholo" ademas de que para evitar intercepciones en la linea se
tendria que encriptar el nombre de usuario.. o utilizar https...

salu2!!

pablo
"Alberto D." escribió:

Bueno suena bien, pero que pasa si es alguien que
intenta entrar al site por fuerza bruta?? bloquearias el
sistema??

Saludos !!

"pablo crosio" escribió en el
mensaje news:
>
> hola!
>
> supongo que para el login chequeas usuario y clave contra un un servidor
de
> datos
> tal vez alli podrias tener el estado de bloqueado o no y hora de ultimo
> intento de login (con exito o no)... luego buscando el usuario a
loguerarse y
> por diferencia de hora actual y hora de ultimo intento de login podrias
> desbloquear al usuario, una vez logueado lo dejas en estado de
desbloqueado...
>
> esta tecnica bloquea un usuario independientemente de la ip en que se este
> logueando... es decir si bloqueas un usuario... no podra ingresar desde
> ninguna ip hasta que se desbloquee..
>
> hay modificaciones a esta idea... como combinar usuario + ip, etc etc
> espero te sirva...
>
> salu2!
>
> pablo
>
>
> "Luis Ramírez" escribió:
>
> > Hola grupo:
> > Tengo la siguiente inquietud:
> > En una página de logeo, se require restringir el numero de intentos de
> > login, hacerlo en una sola sesión no presenta dificultad, el asunto es
que
> > se quiere q bloquee una direccion IP por un par de minutos (al menos)
con
> > esto surge otro problema, muchos de nuestros ususarios estan dentro de
un
> > ISP con IP Dinamica o con el mismo gateway, con lo cual el identificar
de
> > forma única a un visitante tambien es tedioso, surgio la idea de cookies
> > pero en ocaciones estan bloqueadas en el explorer del usuario.
> > Estoy intentando un solucion q combine las tres opciones (Sesion,
Direccion
> > IP, Cookie), pero igual les pregunto para conocer otras opcionbes, ideas
o
> > sugerencias
> >
> > Saludos desde Costa Rica
> >
> > Luis Ramírez
> >
> >
> >

hola!

una de las tecnicas mas conocidas para evitar la fuerza bruta es mostrar un
grafiquito con algun texto dibujado y que uno deba tipear lo que dice

aca tenes un par de links que hablan del tema del brute-force

http://www.codeguru.com/Csharp/.NET...php/c7907/
http://www.15seconds.com/issue/040202.htm

salu2!!

pablo

"Luis Ramírez" escribió:

gracias por los dos comentarios, tuve ideas con eso pero igual lo que quiero
es evitar la fuerza bruta.

Más consejos?


"pablo crosio" wrote in message
news:
>
> hola!
>
> como exprese... hay alternativas realmente no realice un analisis
> exhausitvo de la cuestion
>
> en principio el bloqueo seria por 2 minutos... como se planteo se
podria
> detectar la "insistencia" del usuario al intentar loguearse
fallidamente...
> ahi bloquear la / las ips definitivamente para el usuario
>
> por ultimo se podria hasta bloquear al usuario mismo indefinidamente
>
> en este caso y quizas el anterior... se podria enviar un aviso al usuario
> (si es que se tiene un mail registrado del usuario en el servidor)
hay
> veces que incluso es bueno cambiar hasta tu usuario y recomiendo que
> nadie tenga como nombre de usuario nombres tan sencillos como "pepe" o
> "cholo" ademas de que para evitar intercepciones en la linea se
> tendria que encriptar el nombre de usuario.. o utilizar https...
>
> salu2!!
>
> pablo
> "Alberto D." escribió:
>
> > Bueno suena bien, pero que pasa si es alguien que
> > intenta entrar al site por fuerza bruta?? bloquearias el
> > sistema??
> >
> > Saludos !!
> >
> > "pablo crosio" escribió en el
> > mensaje news:
> > >
> > > hola!
> > >
> > > supongo que para el login chequeas usuario y clave contra un un
servidor
> > de
> > > datos
> > > tal vez alli podrias tener el estado de bloqueado o no y hora de
ultimo
> > > intento de login (con exito o no)... luego buscando el usuario a
> > loguerarse y
> > > por diferencia de hora actual y hora de ultimo intento de login
podrias
> > > desbloquear al usuario, una vez logueado lo dejas en estado de
> > desbloqueado...
> > >
> > > esta tecnica bloquea un usuario independientemente de la ip en que se
este
> > > logueando... es decir si bloqueas un usuario... no podra ingresar
desde
> > > ninguna ip hasta que se desbloquee..
> > >
> > > hay modificaciones a esta idea... como combinar usuario + ip, etc
etc
> > > espero te sirva...
> > >
> > > salu2!
> > >
> > > pablo
> > >
> > >
> > > "Luis Ramírez" escribió:
> > >
> > > > Hola grupo:
> > > > Tengo la siguiente inquietud:
> > > > En una página de logeo, se require restringir el numero de intentos
de
> > > > login, hacerlo en una sola sesión no presenta dificultad, el asunto
es
> > que
> > > > se quiere q bloquee una direccion IP por un par de minutos (al
menos)
> > con
> > > > esto surge otro problema, muchos de nuestros ususarios estan dentro
de
> > un
> > > > ISP con IP Dinamica o con el mismo gateway, con lo cual el
identificar
> > de
> > > > forma única a un visitante tambien es tedioso, surgio la idea de
cookies
> > > > pero en ocaciones estan bloqueadas en el explorer del usuario.
> > > > Estoy intentando un solucion q combine las tres opciones (Sesion,
> > Direccion
> > > > IP, Cookie), pero igual les pregunto para conocer otras opcionbes,
ideas
> > o
> > > > sugerencias
> > > >
> > > > Saludos desde Costa Rica
> > > >
> > > > Luis Ramírez
> > > >
> > > >
> > > >
> >
> >
> >

gracias por los dos comentarios, tuve ideas con eso pero igual lo que quiero
es evitar la fuerza bruta.

Más consejos?


"pablo crosio" wrote in message
news:

hola!

como exprese... hay alternativas realmente no realice un analisis
exhausitvo de la cuestion

en principio el bloqueo seria por 2 minutos... como se planteo se

podria

detectar la "insistencia" del usuario al intentar loguearse

fallidamente...

ahi bloquear la / las ips definitivamente para el usuario

por ultimo se podria hasta bloquear al usuario mismo indefinidamente

en este caso y quizas el anterior... se podria enviar un aviso al usuario
(si es que se tiene un mail registrado del usuario en el servidor)

hay

veces que incluso es bueno cambiar hasta tu usuario y recomiendo que
nadie tenga como nombre de usuario nombres tan sencillos como "pepe" o
"cholo" ademas de que para evitar intercepciones en la linea se
tendria que encriptar el nombre de usuario.. o utilizar https...

salu2!!

pablo
"Alberto D." escribió:

> Bueno suena bien, pero que pasa si es alguien que
> intenta entrar al site por fuerza bruta?? bloquearias el
> sistema??
>
> Saludos !!
>
> "pablo crosio" escribió en el
> mensaje news:
> >
> > hola!
> >
> > supongo que para el login chequeas usuario y clave contra un un

servidor

> de
> > datos
> > tal vez alli podrias tener el estado de bloqueado o no y hora de

ultimo

> > intento de login (con exito o no)... luego buscando el usuario a
> loguerarse y
> > por diferencia de hora actual y hora de ultimo intento de login

podrias

> > desbloquear al usuario, una vez logueado lo dejas en estado de
> desbloqueado...
> >
> > esta tecnica bloquea un usuario independientemente de la ip en que se

este

> > logueando... es decir si bloqueas un usuario... no podra ingresar

desde

> > ninguna ip hasta que se desbloquee..
> >
> > hay modificaciones a esta idea... como combinar usuario + ip, etc

etc

> > espero te sirva...
> >
> > salu2!
> >
> > pablo
> >
> >
> > "Luis Ramírez" escribió:
> >
> > > Hola grupo:
> > > Tengo la siguiente inquietud:
> > > En una página de logeo, se require restringir el numero de intentos

de

> > > login, hacerlo en una sola sesión no presenta dificultad, el asunto

es

> que
> > > se quiere q bloquee una direccion IP por un par de minutos (al

menos)

> con
> > > esto surge otro problema, muchos de nuestros ususarios estan dentro

de

> un
> > > ISP con IP Dinamica o con el mismo gateway, con lo cual el

identificar

> de
> > > forma única a un visitante tambien es tedioso, surgio la idea de

cookies

> > > pero en ocaciones estan bloqueadas en el explorer del usuario.
> > > Estoy intentando un solucion q combine las tres opciones (Sesion,
> Direccion
> > > IP, Cookie), pero igual les pregunto para conocer otras opcionbes,

ideas

> o
> > > sugerencias
> > >
> > > Saludos desde Costa Rica
> > >
> > > Luis Ramírez
> > >
> > >
> > >
>
>
>