Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3s8kc$564$1@news.net.icm.edu.pl...
>
>> Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że
>> po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie
>> (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie
>> każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa
>> działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
>> Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej
>> liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie
>> byłoby jak sprawdzić, które prawidłowe.
>
> Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się
> do danego konta.

Nie wiem jak to wyczytałeś z tego co napisałem.

> Tutaj zupełnie o to nie chodzi. Co z tego, że po 3
> próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest
> mało istotne.

Właśnie to, że na minutę (czy XX minut) a nie na stałe jest bardzo istotne.

> Każdy nazwijmy to "atakujący" komputer wykona jedną prostą
> czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic
> więcej.

Jakie jest prawdopodobieństwo, że akurat w minutę po tym prawdziwy posiadacz
loginu 12345678 będzie się próbował zalogować ?

> Jeżeli uda mu się znowu logować, to zaloguje się na login
> 98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak
> największej ilości kont.

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
_istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny)
losowo wybrany login będzie prawdziwym loginem jakiegoś konta.
P.G.