Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

restringir login

17/11/2004 - 22:30 por Luis Ramírez | Informe spam
Ayuda Hacer una pregunta
Hola grupo:
Tengo la siguiente inquietud:
En una página de logeo, se require restringir el numero de intentos de
login, hacerlo en una sola sesión no presenta dificultad, el asunto es que
se quiere q bloquee una direccion IP por un par de minutos (al menos) con
esto surge otro problema, muchos de nuestros ususarios estan dentro de un
ISP con IP Dinamica o con el mismo gateway, con lo cual el identificar de
forma única a un visitante tambien es tedioso, surgio la idea de cookies
pero en ocaciones estan bloqueadas en el explorer del usuario.
Estoy intentando un solucion q combine las tres opciones (Sesion, Direccion
IP, Cookie), pero igual les pregunto para conocer otras opcionbes, ideas o
sugerencias

Saludos desde Costa Rica

Luis Ramírez
email Siga el debateRespuesta 9 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#6 Luis Ramírez
18/11/2004 - 19:45 | Informe spam
Gracias estoy leyendo


"pablo crosio" wrote in message
news:

hola!

una de las tecnicas mas conocidas para evitar la fuerza bruta es mostrar


un
grafiquito con algun texto dibujado y que uno deba tipear lo que dice

aca tenes un par de links que hablan del tema del brute-force




http://www.codeguru.com/Csharp/.NET...php/c7907/
http://www.15seconds.com/issue/040202.htm

salu2!!

pablo

"Luis Ramírez" escribió:

> gracias por los dos comentarios, tuve ideas con eso pero igual lo que


quiero
> es evitar la fuerza bruta.
>
> Más consejos?
>
>
> "pablo crosio" wrote in message
> news:
> >
> > hola!
> >
> > como exprese... hay alternativas realmente no realice un analisis
> > exhausitvo de la cuestion
> >
> > en principio el bloqueo seria por 2 minutos... como se planteo se
> podria
> > detectar la "insistencia" del usuario al intentar loguearse
> fallidamente...
> > ahi bloquear la / las ips definitivamente para el usuario
> >
> > por ultimo se podria hasta bloquear al usuario mismo


indefinidamente
> >
> > en este caso y quizas el anterior... se podria enviar un aviso al


usuario
> > (si es que se tiene un mail registrado del usuario en el servidor)
> hay
> > veces que incluso es bueno cambiar hasta tu usuario y recomiendo


que
> > nadie tenga como nombre de usuario nombres tan sencillos como "pepe" o
> > "cholo" ademas de que para evitar intercepciones en la linea


se
> > tendria que encriptar el nombre de usuario.. o utilizar https...
> >
> > salu2!!
> >
> > pablo
> > "Alberto D." escribió:
> >
> > > Bueno suena bien, pero que pasa si es alguien que
> > > intenta entrar al site por fuerza bruta?? bloquearias el
> > > sistema??
> > >
> > > Saludos !!
> > >
> > > "pablo crosio" escribió en


el
> > > mensaje news:
> > > >
> > > > hola!
> > > >
> > > > supongo que para el login chequeas usuario y clave contra un un
> servidor
> > > de
> > > > datos
> > > > tal vez alli podrias tener el estado de bloqueado o no y hora de
> ultimo
> > > > intento de login (con exito o no)... luego buscando el usuario a
> > > loguerarse y
> > > > por diferencia de hora actual y hora de ultimo intento de login
> podrias
> > > > desbloquear al usuario, una vez logueado lo dejas en estado de
> > > desbloqueado...
> > > >
> > > > esta tecnica bloquea un usuario independientemente de la ip en que


se
> este
> > > > logueando... es decir si bloqueas un usuario... no podra ingresar
> desde
> > > > ninguna ip hasta que se desbloquee..
> > > >
> > > > hay modificaciones a esta idea... como combinar usuario + ip, etc
> etc
> > > > espero te sirva...
> > > >
> > > > salu2!
> > > >
> > > > pablo
> > > >
> > > >
> > > > "Luis Ramírez" escribió:
> > > >
> > > > > Hola grupo:
> > > > > Tengo la siguiente inquietud:
> > > > > En una página de logeo, se require restringir el numero de


intentos
> de
> > > > > login, hacerlo en una sola sesión no presenta dificultad, el


asunto
> es
> > > que
> > > > > se quiere q bloquee una direccion IP por un par de minutos (al
> menos)
> > > con
> > > > > esto surge otro problema, muchos de nuestros ususarios estan


dentro
> de
> > > un
> > > > > ISP con IP Dinamica o con el mismo gateway, con lo cual el
> identificar
> > > de
> > > > > forma única a un visitante tambien es tedioso, surgio la idea de
> cookies
> > > > > pero en ocaciones estan bloqueadas en el explorer del usuario.
> > > > > Estoy intentando un solucion q combine las tres opciones


(Sesion,
> > > Direccion
> > > > > IP, Cookie), pero igual les pregunto para conocer otras


opcionbes,
> ideas
> > > o
> > > > > sugerencias
> > > > >
> > > > > Saludos desde Costa Rica
> > > > >
> > > > > Luis Ramírez
> > > > >
> > > > >
> > > > >
> > >
> > >
> > >
>
>
>
Respuesta Responder a este mensaje
#7 Jorge Oblitas
19/11/2004 - 15:25 | Informe spam
creo que habria que ver si estamos todos entendiendo lo mismo por fuerza
bruta...

Jorge
"Luis Ramírez" wrote in message
news:
Gracias estoy leyendo


"pablo crosio" wrote in message
news:
>
> hola!
>
> una de las tecnicas mas conocidas para evitar la fuerza bruta es mostrar
un
> grafiquito con algun texto dibujado y que uno deba tipear lo que


dice
>
> aca tenes un par de links que hablan del tema del brute-force
>
>



http://www.codeguru.com/Csharp/.NET...ticle.php/
c7907/
> http://www.15seconds.com/issue/040202.htm
>
> salu2!!
>
> pablo
>
> "Luis Ramírez" escribió:
>
> > gracias por los dos comentarios, tuve ideas con eso pero igual lo que
quiero
> > es evitar la fuerza bruta.
> >
> > Más consejos?
> >
> >
> > "pablo crosio" wrote in


message
> > news:
> > >
> > > hola!
> > >
> > > como exprese... hay alternativas realmente no realice un


analisis
> > > exhausitvo de la cuestion
> > >
> > > en principio el bloqueo seria por 2 minutos... como se planteo


se
> > podria
> > > detectar la "insistencia" del usuario al intentar loguearse
> > fallidamente...
> > > ahi bloquear la / las ips definitivamente para el usuario
> > >
> > > por ultimo se podria hasta bloquear al usuario mismo
indefinidamente
> > >
> > > en este caso y quizas el anterior... se podria enviar un aviso al
usuario
> > > (si es que se tiene un mail registrado del usuario en el


servidor)
> > hay
> > > veces que incluso es bueno cambiar hasta tu usuario y recomiendo
que
> > > nadie tenga como nombre de usuario nombres tan sencillos como "pepe"


o
> > > "cholo" ademas de que para evitar intercepciones en la


linea
se
> > > tendria que encriptar el nombre de usuario.. o utilizar https...
> > >
> > > salu2!!
> > >
> > > pablo
> > > "Alberto D." escribió:
> > >
> > > > Bueno suena bien, pero que pasa si es alguien que
> > > > intenta entrar al site por fuerza bruta?? bloquearias el
> > > > sistema??
> > > >
> > > > Saludos !!
> > > >
> > > > "pablo crosio" escribió en
el
> > > > mensaje news:
> > > > >
> > > > > hola!
> > > > >
> > > > > supongo que para el login chequeas usuario y clave contra un un
> > servidor
> > > > de
> > > > > datos
> > > > > tal vez alli podrias tener el estado de bloqueado o no y hora de
> > ultimo
> > > > > intento de login (con exito o no)... luego buscando el usuario a
> > > > loguerarse y
> > > > > por diferencia de hora actual y hora de ultimo intento de login
> > podrias
> > > > > desbloquear al usuario, una vez logueado lo dejas en estado de
> > > > desbloqueado...
> > > > >
> > > > > esta tecnica bloquea un usuario independientemente de la ip en


que
se
> > este
> > > > > logueando... es decir si bloqueas un usuario... no podra


ingresar
> > desde
> > > > > ninguna ip hasta que se desbloquee..
> > > > >
> > > > > hay modificaciones a esta idea... como combinar usuario + ip,


etc
> > etc
> > > > > espero te sirva...
> > > > >
> > > > > salu2!
> > > > >
> > > > > pablo
> > > > >
> > > > >
> > > > > "Luis Ramírez" escribió:
> > > > >
> > > > > > Hola grupo:
> > > > > > Tengo la siguiente inquietud:
> > > > > > En una página de logeo, se require restringir el numero de
intentos
> > de
> > > > > > login, hacerlo en una sola sesión no presenta dificultad, el
asunto
> > es
> > > > que
> > > > > > se quiere q bloquee una direccion IP por un par de minutos (al
> > menos)
> > > > con
> > > > > > esto surge otro problema, muchos de nuestros ususarios estan
dentro
> > de
> > > > un
> > > > > > ISP con IP Dinamica o con el mismo gateway, con lo cual el
> > identificar
> > > > de
> > > > > > forma única a un visitante tambien es tedioso, surgio la idea


de
> > cookies
> > > > > > pero en ocaciones estan bloqueadas en el explorer del usuario.
> > > > > > Estoy intentando un solucion q combine las tres opciones
(Sesion,
> > > > Direccion
> > > > > > IP, Cookie), pero igual les pregunto para conocer otras
opcionbes,
> > ideas
> > > > o
> > > > > > sugerencias
> > > > > >
> > > > > > Saludos desde Costa Rica
> > > > > >
> > > > > > Luis Ramírez
> > > > > >
> > > > > >
> > > > > >
> > > >
> > > >
> > > >
> >
> >
> >


Respuesta Responder a este mensaje
#8 pablo crosio
22/11/2004 - 15:35 | Informe spam
si de seguridad estamos hablando, conozco un solo concepto...

salu2!!

pablo

"Jorge Oblitas" escribió:

creo que habria que ver si estamos todos entendiendo lo mismo por fuerza
bruta...

Jorge
"Luis Ramírez" wrote in message
news:
> Gracias estoy leyendo
>
>
> "pablo crosio" wrote in message
> news:
> >
> > hola!
> >
> > una de las tecnicas mas conocidas para evitar la fuerza bruta es mostrar
> un
> > grafiquito con algun texto dibujado y que uno deba tipear lo que
dice
> >
> > aca tenes un par de links que hablan del tema del brute-force
> >
> >
>
http://www.codeguru.com/Csharp/.NET...ticle.php/
c7907/
> > http://www.15seconds.com/issue/040202.htm
> >
> > salu2!!
> >
> > pablo
> >
> > "Luis Ramírez" escribió:
> >
> > > gracias por los dos comentarios, tuve ideas con eso pero igual lo que
> quiero
> > > es evitar la fuerza bruta.
> > >
> > > Más consejos?
> > >
> > >
> > > "pablo crosio" wrote in
message
> > > news:
> > > >
> > > > hola!
> > > >
> > > > como exprese... hay alternativas realmente no realice un
analisis
> > > > exhausitvo de la cuestion
> > > >
> > > > en principio el bloqueo seria por 2 minutos... como se planteo
se
> > > podria
> > > > detectar la "insistencia" del usuario al intentar loguearse
> > > fallidamente...
> > > > ahi bloquear la / las ips definitivamente para el usuario
> > > >
> > > > por ultimo se podria hasta bloquear al usuario mismo
> indefinidamente
> > > >
> > > > en este caso y quizas el anterior... se podria enviar un aviso al
> usuario
> > > > (si es que se tiene un mail registrado del usuario en el
servidor)
> > > hay
> > > > veces que incluso es bueno cambiar hasta tu usuario y recomiendo
> que
> > > > nadie tenga como nombre de usuario nombres tan sencillos como "pepe"
o
> > > > "cholo" ademas de que para evitar intercepciones en la
linea
> se
> > > > tendria que encriptar el nombre de usuario.. o utilizar https...
> > > >
> > > > salu2!!
> > > >
> > > > pablo
> > > > "Alberto D." escribió:
> > > >
> > > > > Bueno suena bien, pero que pasa si es alguien que
> > > > > intenta entrar al site por fuerza bruta?? bloquearias el
> > > > > sistema??
> > > > >
> > > > > Saludos !!
> > > > >
> > > > > "pablo crosio" escribió en
> el
> > > > > mensaje news:
> > > > > >
> > > > > > hola!
> > > > > >
> > > > > > supongo que para el login chequeas usuario y clave contra un un
> > > servidor
> > > > > de
> > > > > > datos
> > > > > > tal vez alli podrias tener el estado de bloqueado o no y hora de
> > > ultimo
> > > > > > intento de login (con exito o no)... luego buscando el usuario a
> > > > > loguerarse y
> > > > > > por diferencia de hora actual y hora de ultimo intento de login
> > > podrias
> > > > > > desbloquear al usuario, una vez logueado lo dejas en estado de
> > > > > desbloqueado...
> > > > > >
> > > > > > esta tecnica bloquea un usuario independientemente de la ip en
que
> se
> > > este
> > > > > > logueando... es decir si bloqueas un usuario... no podra
ingresar
> > > desde
> > > > > > ninguna ip hasta que se desbloquee..
> > > > > >
> > > > > > hay modificaciones a esta idea... como combinar usuario + ip,
etc
> > > etc
> > > > > > espero te sirva...
> > > > > >
> > > > > > salu2!
> > > > > >
> > > > > > pablo
> > > > > >
> > > > > >
> > > > > > "Luis Ramírez" escribió:
> > > > > >
> > > > > > > Hola grupo:
> > > > > > > Tengo la siguiente inquietud:
> > > > > > > En una página de logeo, se require restringir el numero de
> intentos
> > > de
> > > > > > > login, hacerlo en una sola sesión no presenta dificultad, el
> asunto
> > > es
> > > > > que
> > > > > > > se quiere q bloquee una direccion IP por un par de minutos (al
> > > menos)
> > > > > con
> > > > > > > esto surge otro problema, muchos de nuestros ususarios estan
> dentro
> > > de
> > > > > un
> > > > > > > ISP con IP Dinamica o con el mismo gateway, con lo cual el
> > > identificar
> > > > > de
> > > > > > > forma única a un visitante tambien es tedioso, surgio la idea
de
> > > cookies
> > > > > > > pero en ocaciones estan bloqueadas en el explorer del usuario.
> > > > > > > Estoy intentando un solucion q combine las tres opciones
> (Sesion,
> > > > > Direccion
> > > > > > > IP, Cookie), pero igual les pregunto para conocer otras
> opcionbes,
> > > ideas
> > > > > o
> > > > > > > sugerencias
> > > > > > >
> > > > > > > Saludos desde Costa Rica
> > > > > > >
> > > > > > > Luis Ramírez
> > > > > > >
> > > > > > >
> > > > > > >
> > > > >
> > > > >
> > > > >
> > >
> > >
> > >
>
>



Respuesta Responder a este mensaje
#9 TheWolF
25/11/2004 - 13:45 | Informe spam
Yo tengo en funcionamiento una app web y para evitarme ese tipo de
cosas, estoy con certificados propios.

Así solo doy certificados a los usuarios con acceso.

Tiene el inconveniente de que solo se pueden conectar desde el equipo en
el que lo tienen instalado, dando por supuesto que el usuario de la app
web es el único propietario de su ordenador. Que es lo que ocurre la
mayor parte de las veces...

Salu2.

pablo crosio wrote:

si de seguridad estamos hablando, conozco un solo concepto...

salu2!!

pablo

"Jorge Oblitas" escribió:


creo que habria que ver si estamos todos entendiendo lo mismo por fuerza
bruta...

Jorge
"Luis Ramírez" wrote in message
news:

Gracias estoy leyendo


"pablo crosio" wrote in message
news:

hola!

una de las tecnicas mas conocidas para evitar la fuerza bruta es mostrar



un

grafiquito con algun texto dibujado y que uno deba tipear lo que





dice

aca tenes un par de links que hablan del tema del brute-force







http://www.codeguru.com/Csharp/.NET...ticle.php/
c7907/

http://www.15seconds.com/issue/040202.htm

salu2!!

pablo

"Luis Ramírez" escribió:


gracias por los dos comentarios, tuve ideas con eso pero igual lo que





quiero

es evitar la fuerza bruta.

Más consejos?


"pablo crosio" wrote in







message

news:

hola!

como exprese... hay alternativas realmente no realice un









analisis

exhausitvo de la cuestion

en principio el bloqueo seria por 2 minutos... como se planteo









se

podria

detectar la "insistencia" del usuario al intentar loguearse



fallidamente...

ahi bloquear la / las ips definitivamente para el usuario

por ultimo se podria hasta bloquear al usuario mismo







indefinidamente

en este caso y quizas el anterior... se podria enviar un aviso al







usuario

(si es que se tiene un mail registrado del usuario en el









servidor)

hay

veces que incluso es bueno cambiar hasta tu usuario y recomiendo







que

nadie tenga como nombre de usuario nombres tan sencillos como "pepe"









o

"cholo" ademas de que para evitar intercepciones en la









linea

se

tendria que encriptar el nombre de usuario.. o utilizar https...

salu2!!

pablo
"Alberto D." escribió:


Bueno suena bien, pero que pasa si es alguien que
intenta entrar al site por fuerza bruta?? bloquearias el
sistema??

Saludos !!

"pablo crosio" escribió en









el

mensaje news:

hola!

supongo que para el login chequeas usuario y clave contra un un







servidor

de

datos
tal vez alli podrias tener el estado de bloqueado o no y hora de







ultimo

intento de login (con exito o no)... luego buscando el usuario a



loguerarse y

por diferencia de hora actual y hora de ultimo intento de login







podrias

desbloquear al usuario, una vez logueado lo dejas en estado de



desbloqueado...

esta tecnica bloquea un usuario independientemente de la ip en













que

se

este

logueando... es decir si bloqueas un usuario... no podra













ingresar

desde

ninguna ip hasta que se desbloquee..

hay modificaciones a esta idea... como combinar usuario + ip,













etc

etc

espero te sirva...

salu2!

pablo


"Luis Ramírez" escribió:


Hola grupo:
Tengo la siguiente inquietud:
En una página de logeo, se require restringir el numero de













intentos

de

login, hacerlo en una sola sesión no presenta dificultad, el













asunto

es

que

se quiere q bloquee una direccion IP por un par de minutos (al









menos)

con

esto surge otro problema, muchos de nuestros ususarios estan













dentro

de

un

ISP con IP Dinamica o con el mismo gateway, con lo cual el









identificar

de

forma única a un visitante tambien es tedioso, surgio la idea















de

cookies

pero en ocaciones estan bloqueadas en el explorer del usuario.
Estoy intentando un solucion q combine las tres opciones













(Sesion,

Direccion

IP, Cookie), pero igual les pregunto para conocer otras













opcionbes,

ideas

o

sugerencias

Saludos desde Costa Rica

Luis Ramírez

























email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida