kriskel wrote:
> [...] Podobnie z licznikiem mBanku. Ktoś wprowadza dwa razy zły kod i
> cofa stronę albo otwiera ponownie przeglądarkę i znowu wprowadza kody.
> Żeby nie zablokować może swobodnie wprowadzić kolejne dwa kody. I tak
> mógłby się bawić w nieskończoność. A w przypadku kiedy po 50 nieudanych
> próbach zostanie zablokowany dostęp, to masz sygnał, że ktoś próbował
> się włamać do Twojego konta.
> Czy to jest pozbawione sensu?

Nieresetowalny, niekonfigurowalny licznik do 50 bez żadnych zależności
czasowych działający bez ostrzeżenia jest bez sensu. W szczególności
można komuś zrobić DoS znając jedynie jego numer identyfikacyjny, który,
w przeciwieństwie do hasła nie brzmi "********" i w związku z tym jest
jakby mniej tajny.

Niepokoi mnie to, że nie jestem w stanie określić jego wartości (czy ktoś
próbował się od mLinki dowiedzieć tego?). Może to jest kilkanaście, może
ze 30 (w ciągu roku) i nie wiem, czy np. blokada mnie nie złapie gdzieś
za daleką granicą, gdzie różne proste rzeczy bywają nieco utrudnione.

Jeśli już licznik miałby być to jakoś konkretniej konfigurowalny i jawnie
pokazywany przy logowaniu, żeby można było zawczasu zareagować
przynajmniej na własne błędnie wpisywane hasła, bo na czyjąś ewentualną
złośliwość to się chyba łatwo nie da (chyba żeby jakiś token wprowadzić).

--
Pozdrówka,
Artur