Blokowanie kont to po pierwsze zły pomysł. Może się wydawać, że zwiększasz bezpieczeństwo swojej organizacji, powstrzymując „złych ludzi”, którzy „odgadują” hasła przy użyciu brutalnej siły ataki, ale co tak naprawdę rozwiązałeś? Nawet przy takiej polityce i doskonałej bazie użytkowników, która nigdy nie popełnia błędów w zabezpieczeniach, osoba atakująca może przeprowadzić atak typu „odmowa usługi” na Twoją organizację, wielokrotnie używając hasła „aaa” do blokowania kont użytkowników krytycznych. Zastanów się, co się stanie, jeśli osoba atakująca otrzyma kopię listy nazw użytkowników dla całego działu IT: nagle samo IT - organizacja, która w przeciwnym razie mogłaby odblokować innych użytkowników - zostaje całkowicie zamknięta.
Zawsze rozważ model zagrożenia przed wdrożeniem polityki. „Zły facet” zdeterminowany, by skrzywdzić Twoją organizację, znajdzie alternatywne wektory ataku. Twoja polityka lokautu nie zrazi nawet aktora państwowego (takiego jak Rosja, Chiny czy NSA); zdeterminowany haker po prostu znajdzie inne sposoby obejścia tego problemu (np. socjotechnika); i tylko zaszkodzi legalnym użytkownikom twojej usługi, bez względu na to, jak nisko lub wysoko ustawisz licznik blokady.
Morał z tej historii: Nie blokuj kont. Zamiast tego , zrób to, co Apple robi z iPhonem: każda próba logowania podwaja opóźnienie logowania, tak że po kilkunastu nieudanych próbach musisz odczekać godzinę pomiędzy kolejnymi próbami. To wystarczająco długo, aby uniemożliwić „złym facetom” wykonywanie ataków siłowych, ale wciąż wystarczająco krótkie, aby legalny użytkownik mógł spędzić tę godzinę, zastanawiając się, jakie jest jego hasło i wpisując je poprawnie po obiedzie - lub kontaktując się z IT i przepraszająco prosząc o pomoc . (Podobnie, zasady „zalewania” można często wdrożyć na poziomie adresu IP w zaporze, a nie tylko na poziomie konta użytkownika w oprogramowaniu, jeśli obawiasz się, że dedykowany napastnik próbuje brutalnie wymusić wiele różnych kont .)
A jeśli nie blokujesz kont, nie musisz mieć licznika - ani wyświetlać go.
[ zobacz także: tę doskonałą odpowiedź na podobne pytanie ]