Login e pericoloso attacco brute force

[cistoverosi]

Ciao ragazzi avrei una domanda, forse banale, ma di cui non ho ancora trovato una risposta.

Se creo un sistema di login che dopo tot tentativi, per esempio 5, di uno stesso indirizzo ip fa comparire un codice recaptcha da compilare, esso è veramente sicuro o no?

La prima cosa che mi è venuta in mente è subito: tutto perfetto il metodo funziona, fin quando un bot automaticamente dopo tot tentativi cambia il suo ip rendendo superfluo il mio controllo.

Le uniche soluzioni che mi sono venute in mente sono due:

1)Faccio un controllo anche delle volte che quello specifico nome utente ha provato ad entrare, e metto un controllo recaptcha dopo tot tentativi (quindi anche cambiando l'ip non si renderebbe superfluo esso). Anche se un bot potrebbe benissimo far scattare il codice captcha ad un account a random conoscendo solamente il nome utente.

2)Metto un blocco di tot secondi a quell'account dopo tot tentativi. (Anche se con questo metodo si rischierebbe che qualcuno blocchi gli account per tot tempo solamente conoscendo il loro nome utente e continuando a sbagliare login apposta).

La domanda alla fin dei conti è solamente una: Google provvede da solo con una sua blacklist aggiornata al possibile cambio di ip iterativo di un bot o per forza di cose si deve ricorrere ad un terzo metodo?

[ciro78]

io metterei il captcha dopo 3 e il blocco dopo 5

[cistoverosi]

Perfetto ma il blocco dopo 5 tentativi falliti non potrebbe dare modo ad un eventuale bot di distruggere del tutto il login del sito per tutti gli utenti iscritti o comunque creare disagio ad alcuni?
Se controllo e metto un captcha basandomi sull'ip non c'è rischio che il bot cambi e si proxy l'ip ogni 3 tentativi per non cadere nel codice captcha? (recaptcha) Google ha una blacklist aggiornata che non permette di fare ciò o devo studiare un metodo effettivo io?

io metterei il captcha dopo 3 e il blocco dopo 5

[ciro78]

Perfetto ma il blocco dopo 5 tentativi falliti non potrebbe dare modo ad un eventuale bot di distruggere del tutto il login del sito per tutti gli utenti iscritti o comunque creare disagio ad alcuni?
Se controllo e metto un captcha basandomi sull'ip non c'è rischio che il bot cambi e si proxy l'ip ogni 3 tentativi per non cadere nel codice captcha? (recaptcha) Google ha una blacklist aggiornata che non permette di fare ciò o devo studiare un metodo effettivo io?

blocchi il login da quell ip. non blocchi il login

[cistoverosi]

ah ok intendevi bloccare l'ip, avevo capito altro.
Ma bloccando l'ip non c'è il rischio che semplicemente il bot si proxy con un altro ip continuando incontrastato il suo brute force?
Basterebbe che il bot oltre che essere specializzato nell'attaccare un form sia anche in grado di cambiare il suo ip dopo tot tentativi.

blocchi il login da quell ip. non blocchi il login

[LucianoS]

se poi, da un unico IP, escono diversi utenti (azienda, lan ecc.) ecco che se blocchi uno blocchi tutti. Devi perciò prevedere anche una white list per gli IP "fidati"

[ciro78]

a parte che lo puoi bloccare per poche ore. poi se fanno brute force da una azienda amen