Можно ли не использовать капчу при авторизации и регистрации?

Question

[Max Ba]

Всем привет. На своем сайте использую авторизацию через AJAX. Данные передаю через POST.
Но я не хочу использовать капчу во время авторизации. Но я сделал иначе. Я поставил простой счетчик неверных попыток. Если их 5 то сессия не пропускает к авторизации больше, пока юзер не стартует новую. Есть ли у этого метода недостатки и устоит ли он от грубого взлома (чтоли) ну я про вообще идею. Сразу говорю, раньше включалась капча поле 3х неверных попыток. Но убрал. Решил что она вообще не нужна. Можно и до 10 неверных попыток сделать. Не суть.

Answer 1

[Vitaliy Orlov]

Любые данные завязанные на сторону клиента (сессии, куки и т.д.), не защитят никак от перебора паролей.

Самый простой вариант, это записывать ip и кол-во неудачных попыток, дальше при превышении либо делать паузу между попытками (попробуйте через 5 минут), либо показывать каптчу (т.е. не сразу, а после 5 неудачных попыток).

Answer 2

[Anton B]

Я тоже против капчи по умолчанию.

При авторизации я вешаю счетчик неудачных попыток на имя пользователя (не на пару ip + useragent). После 5 неудачных попыток в течении 5 минут вывожу капчу.

При регистрации счетчик можно повесить на ip.

Comments

[Max Ba]

Ок, проверку по IP при регистрации тогда сделаю. Но есть ли смысл связать со счетчиком сессий, чтоб не сразу записывать или в этом случае я разрешу бесконечно обращаться к БД тк сессии можно сразу обнулять? Это дырка ведь, верно?

[Evgeny Svirsky]

"При регистрации счетчик можно повесить на ip. "
счётчик чего? что значит неудачная регистрация? Вам столько там регистраций сделают без капчи...

[Anton B]

maximka787: вам уже ответили, никакого смысла привязываться к сессии нет, пользователь удаляет сессионную куку и вот у него уже новая сессия.

Evgeny Svirsky: можно сохранять время последней регистрации с ip, если регистрация была менее 5 минут назад, попросить ввести капчу.

Answer 3

[Дмитрий]

ну при авторизации еще ладно, но вы то еще и регистрацию имеете в виду.
без капчи куча ботов там будет

Comments

[Сергей Протько]

есть куча уловок что бы уменьшить поток спамботов. Они как правило очень тупые.

[Max Ba]

то есть это узкое место? у меня стоит подтверждение активации, и пока пользователь не подтвердит почту, то он не попадет в основную таблицу юзеров. Хотя чую боты могут подтверждать почту)

Answer 4

[Александр Аксентьев]

Удалил куку сессии = счетчик попыток сбросился?

Это вообще не защищает никак.

Comments

[Max Ba]

Вы хотите сказать, что грубой силой можно взломать сайт с моим методом?

[Александр Аксентьев]

maximka787: если я правильно понял - вы в СЕССИЮ записываете количество попыток. Тогда да, можно считать что никакой защиты нет

[Max Ba]

Ну так если в сессию нельзя, следовательно в куки тоже, и СЛЕДОВАТЕЛЬНО максимум что можно сделать это проверку IP с записью в БД, что вобще хне очень хорошо. Может быть есть еще решения?

[Александр Аксентьев]

maximka787: А что не очень хорошо при записи в базу?

[Max Ba]

А если сделать спам атаку пост заросом на этот участок? Получается mysql сервер напряжем проверками.

Answer 5

[Evgeny Svirsky]

А в чём проблема её использовать?
Поставьте гугл капчу, где достаточно кликнуть в квадратике, и этого будет достаточно:
https://www.google.com/recaptcha/intro/index.html

Но без капчи - это заранее плохая идея)

Answer 6

[Слава Витренко]

Ограничение по ip - не всегда вариант. Например, у меня дома (многоквартирный дом) весь дом на одном (!) ip.