+ Rispondi alla Discussione
Risultati da 1 a 5 di 5

Idea per sicurezza maggiore su form login

Ultimo Messaggio di 4ustat il:
  1. #1
    Esperto L'avatar di max0005
    Data Registrazione
    May 2009
    Località
    Sheffield
    Messaggi
    1,841

    Idea per sicurezza maggiore su form login

    Salve,
    stamattina ho avuto un'idea per rendere più sicuro il form di login che sto creando. In pratica quello che ho ora si basa su due campi:

    Username e Password

    Quando il username viene innoltrato (dopo appositi controlli di sicurezza) viene verificato se un utente con quel username è registrato. In tal caso se anche le password corrispondono viene effettuato il login.

    L'idea che ho avuto si basa su tre campi:

    Login name, Display Name e Password.

    In pratica quando un'utente si registra gli viene chiesto di scegliere due nick. Uno sarà per il login, privato, l'altro sarà visualizzato in ogni post/commento o altra interazione che compie.

    I campi Login Name e Password vengono criptati nel database e al login sarà l'equivalente di inserire 2 password, solo che una avrà l'apparenza di uno username.

    Questo sistema ha il vantaggio che se io volessi rubare l'account a "pincopallino" avrei una difficoltà doppia in quanto non conoscerei il suo login name. Anche avendo accesso al database o facendo un SQL Injection non avrei nessuno dei 2 punti di riferimento su cui basarmi per autenticarmi come lui.

    Cosa ne pensate?
    Mi conviene implementarlo?
    max
    Dario's Desk- Life is to be taken with a pinch of salt... A shot of tequila, and a slice of lemon!

  2. #2
    ModSenior L'avatar di Thedarkita
    Data Registrazione
    Aug 2006
    Località
    Messina
    Messaggi
    7,237
    Segui Thedarkita su Twitter Aggiungi Thedarkita su Google+ Aggiungi Thedarkita su Facebook Aggiungi Thedarkita su Linkedin Visita il canale Youtube di Thedarkita
    Ciao max0005,

    Un SQL injection basta un addslashes per protegersi, per i brute force con password di 6 lettere impiegherebbero una vita, sopratutto se metti un blocco IP 5 tentativi ogni 30 minuti.

  3. #3
    Esperto L'avatar di max0005
    Data Registrazione
    May 2009
    Località
    Sheffield
    Messaggi
    1,841
    Capisco
    Come faccio a impostare un blocco su 5 tentativi sicuro? Uso le sessioni?
    Dario's Desk- Life is to be taken with a pinch of salt... A shot of tequila, and a slice of lemon!

  4. #4
    ModSenior L'avatar di Thedarkita
    Data Registrazione
    Aug 2006
    Località
    Messina
    Messaggi
    7,237
    Segui Thedarkita su Twitter Aggiungi Thedarkita su Google+ Aggiungi Thedarkita su Facebook Aggiungi Thedarkita su Linkedin Visita il canale Youtube di Thedarkita
    Le sessioni non sono convenienti.
    Meglio mettere l'ip di ogni tentativo in una tabella, e controllare al login quanti tentativi ha effettuato quell'ip negli ultimi 30 minuti.

  5. #5
    User L'avatar di 4ustat
    Data Registrazione
    Feb 2007
    Messaggi
    94
    Perche non semplicemente memorizzare le pass con MD5 ?
    Ultima modifica di Thedarkita; 27-07-09 alle 16:57 Motivo: Inizia con una maiuscola

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.