Dnia Tue, 10 Aug 2010 15:14:29 +0200, Piotr Gałka napisał(a):


> Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że
> po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie
> (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie
> każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa
> działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
> Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej
> liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie
> byłoby jak sprawdzić, które prawidłowe.

Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się
do danego konta. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3
próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest
mało istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą
czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic
więcej. Jeżeli uda mu się znowu logować, to zaloguje się na login
98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak
największej ilości kont. O to i aż o to. I w tym przypadku rozpatruję czy
banki jakoś się zabezpieczają przed tego typu atakami, które chyba raczej
jeszcze nie miały miejsca ale to wcale nie znaczy, że się wydarzyć nie
mogą ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide