• Super User

    Idea per sicurezza maggiore su form login

    Salve,
    stamattina ho avuto un'idea per rendere più sicuro il form di login che sto creando. In pratica quello che ho ora si basa su due campi:

    Username e Password

    Quando il username viene innoltrato (dopo appositi controlli di sicurezza) viene verificato se un utente con quel username è registrato. In tal caso se anche le password corrispondono viene effettuato il login.

    L'idea che ho avuto si basa su tre campi:

    Login name, Display Name e Password.

    In pratica quando un'utente si registra gli viene chiesto di scegliere due nick. Uno sarà per il login, privato, l'altro sarà visualizzato in ogni post/commento o altra interazione che compie.

    I campi Login Name e Password vengono criptati nel database e al login sarà l'equivalente di inserire 2 password, solo che una avrà l'apparenza di uno username.

    Questo sistema ha il vantaggio che se io volessi rubare l'account a "pincopallino" avrei una difficoltà doppia in quanto non conoscerei il suo login name. Anche avendo accesso al database o facendo un SQL Injection non avrei nessuno dei 2 punti di riferimento su cui basarmi per autenticarmi come lui.

    Cosa ne pensate?
    Mi conviene implementarlo?
    max


  • ModSenior

    Ciao max0005,

    Un SQL injection basta un addslashes per protegersi, per i brute force con password di 6 lettere impiegherebbero una vita, sopratutto se metti un blocco IP 5 tentativi ogni 30 minuti.


  • Super User

    Capisco 🙂
    Come faccio a impostare un blocco su 5 tentativi sicuro? Uso le sessioni?


  • ModSenior

    Le sessioni non sono convenienti.
    Meglio mettere l'ip di ogni tentativo in una tabella, e controllare al login quanti tentativi ha effettuato quell'ip negli ultimi 30 minuti.


  • User

    Perche non semplicemente memorizzare le pass con MD5 ?