previnir contra brute force

[Hugo Borges_120734 6]

Galera queria uma opinião de vcs.

 

Seguente montei um sistema bem simples em php, com usuário e senha certo. A senha fica criptografia em md5 no BD mysql.

 

Mas tenho meu formulário onde o usuário coloca o login e senha, isso e possível usar alguma tipo de brute force fazendo o sistema testar várias senhas aleatórias.

 

Como posso me previnir contra isso? Alguém tem alguma ideia?

 

[Luis Paullo 47]

http://www.google.com/recaptcha/intro/

[Beraldo 864]

É possível limitar a quantidade de tentativas de login por intervalo de tempo. Você pode restringir um IP/cookie (ou, melhor, IP+cookie) a X tentativas de login em Y minutos. Acho isso mais eficiente que usar captcha. Captcha é um troço que irrita qualquer visitante

[Massaki 47]

Ou junte as duas idéias, depois de X tentativas, mostra o Captcha

[Hugo Borges_120734 6]

Vlw galera pela ajuda :) . Bom mas achei a ideia do Beraldo mais simples e eficiente.

 

Olha o que irei fazer.

 

1º Irei criar uma BD chamado black_liste onde irei gravar o usuário, seu ip, date e hora do login

 

2º no meu formulário de login irei limitar a 10 tentais, se caso o usuário errar a senha por 10 vezes o sistema registra no BD os dados acima.

 

3º Sempre que o formulário de login for carregado ele primeiro verifica se o ip pode acessar. se sim abre o formulário se não exibe a mensagem de bloquei

 

Bom e bem simples e acho que ira funciona, o que vcs acham?

[Luis Paullo 47]

So não se esqueça que existe IP dinamico.

 

 

Sera que alguem tentaria brutalforce por 12 hrs( ou mais ) diretos com 1(ou mais) super computador. (prq brutal force com um Celeron + windows XP e meio tenso ne =X), pra loga na minha conta do forum?

 

Segurança é bom. Mas adianta gasta R$ 10,000 com um super cofre, pra guarda R$100,00 nele ?

 

 

Segurança tem que ser proporcional ao tipo de informações que seu sistema cuida!

[Hugo Borges_120734 6]

Luis Paullo

O que vc falou e totalmente válido. Porem acho que o que estou tentando fazer e necessário afinal o sistema que estou montando vai trabalhar com informações importantes da empresa.

 

 

E tem o problema do ip dinamico ;/