Sicurezza: tentativi di login

[supermac]

Sto rilevando che su un mio sito qualcuno a orari anomali oppure con cadenza regolare (tipo ogni 6 ore) tenta di effettuare la login sulla mia pagina di accesso... non sono tanti ma ne vedo.
Me ne accorgo perchè registro in una tabella di log gli accessi ed anche i tentativi non andati a buon fine insieme all'IP dell'utente.
Ho provato a fare il reverse dns degli IP "anomali" ma non arrivo molto lontano: ottengo dei No Result oppure degli hostname vodafone generici che non dicono niente.
Il controllo delle credenziali evidentemente fallisce e la cosa credo muoia lì però vorrei liberarmi delle visite indesiderate e ho pensato di fare così, ditemi se può funzionare:
mi metto su una tabella "blacklist" gli IP indesiderati. Sul pageload della mia pagina di login, prima ancora di fargli provare a inserire alcunchè, verifico se l'IP è nella tabella e, in caso positivo, lo rimbalzo con un response redirect da un'altra parte.
Sono conscio che se funziona ne ho risolto uno e me ne restano mille ma intanto...

[alka]

Sto rilevando che su un mio sito qualcuno a orari anomali oppure con cadenza regolare (tipo ogni 6 ore) tenta di effettuare la login sulla mia pagina di accesso... non sono tanti ma ne vedo. [...]
Il controllo delle credenziali evidentemente fallisce e la cosa credo muoia lì però vorrei liberarmi delle visite indesiderate e ho pensato di fare così, ditemi se può funzionare [...]

Quella tabella rischia di diventare chilometrica: se questo tentativo di accesso ripetuto è sintomo di un probabile attacco, allora bisogna andare a fondo sulla questione, mentre per tutti gli altri sporadici tentativi benché numerosi, rischi di avere una tabella infinita di indirizzi IP da escludere, magari assegnati temporaneamente a utenti e successivamente riassegnati a persone che invece dovrebbero poter entrare.

Insomma, attenzione ai passaggi che compi, perché se non hai un problema rischi di creartelo.

[supermac]

Grazie per la risposta celere.
Problemi al momento non ne rilevo: la pagina di login prende le credenziali e fa la query di verifica usando i parametri (SelectCommand.Parameters.Add... ) quindi dovrebbe essere mediamente al sicuro da sqlinjection.
La cosa fastidiosa è che ad esempio uno di questi IP ogni 6 ore spaccate fa 2 tentativi (solo 2) e poi sparisce e ritorna dopo 6 ore per fare altri 2 tentativi, sempre dallo stesso IP.
Un altro invece vedo che ieri alle 20 (fuori dall'orario di ufficio in cui mi attendo visite sul sito) ha fatto una dozzina di tentativi a distanza di 10-15 secondi uno dietro l'altro, poi ha mollato.
Sono palesemente tentativi fatti da qualcuno in modo più o meno automatico... hai ragione da vendere quando dici che la tabella potrebbe riempirsi velocemente ma potrei anche svuotarla ogni mese, ad esempio... a me basta scoraggiare questi tentativi nel breve, se poi ritornano il mese successivo non posso farci niente, li reinserirò nella blacklist.
(il controllo meglio farlo già nel page init?)

[alka]

a me basta scoraggiare questi tentativi nel breve, se poi ritornano il mese successivo non posso farci niente, li reinserirò nella blacklist.

Secondo me, si potrebbe gestire diversamente. Ad esempio, conteggiando quanti tentativi vengono fatti da un indirizzo IP nel breve termine (quindi in memoria) facendo sì che al terzo (o al tentativo N di libera scelta) la pagina si blocchi e presenti un messaggio indicando di attendere diversi secondi prima di riprovare.

Una fatica del genere per un IP che due volte al giorno prova ad accedere, se le password non sono intelligibili, credo sia sprecata.

Diverso è imbastire un sistema che blocchi davvero gli attacchi potenzialmente dannosi per le performance o pericolosi per il tentativo di indovinare con forza bruta un utente e password di accesso.

[supermac]

Cali di performance non sono in grado di rilevarli ma per il resto problemi in effetti non ne ho.
Grazie per i suggerimenti