Как заставить неавторизованного пользователя вводить капчу для формы авторизации, если он несколько раз ошибся? Как определить, сколько раз он ошибся?

Question

[sorry_i_noob]

Если делать это через куки, то пользователь ведь может отключить куки? Как обычно это проверяют? По ip? А как определить ip пользователя?

Comments

[sim3x]

Отключение кук = пользователя впринципе нельзя залогинить
ип - не является идентификатором пользователя

[sorry_i_noob]

sim3x, в случае неудачи, как правило, выводится та же самая страница - страница логина. В случае успеха - страница личного кабинета.
Злоумышленник таким образом может подобрать пароль. Разве нет?

[sim3x]

sorry_i_noob,
Сделайте счетчик попыток неверного входа для конкретного логина
Сделайте счетчик попыток логинов к разным аккам с ИП

Сделайте таймер для логина в акк после превышения
Блокируйте ИП на фаерволе при превышении счетчика

[dollar]

Просто выводите капчу всегда.
А пользователя не разлогинивайте никогда, пока сам не нажмет на "выход".

Answer 1

[Uwe_Boll]

Use session Luke
создаешь в массиве session ключ qtyError и присваиваешь ему значение ноль
и когда пользователь вводит пароль не правильно проверяешь в сессии значение ключа qtyError
если больше к примеру 3 выводишь каптчу, если больше 5 выводишь сообщение о том что пользователь временно забанен а значение ключа qtyError увеличиваешь на единицу

Comments

[sorry_i_noob]

А что будет, если злоумышленник будет пытаться залогиниться в режиме инкогнито? Как только потребуется ввести капчу, то злоумышленник просто закроет браузер и снова откроет его в режиме инкогнито. И у него снова будет 3 попытки для входа? До появления капчи. Вполне возможно, что злоумышленник может написать бота, который будет сам все это проделывать. И таким образом ему удастся пробрутить пароль.

[Cabac_B]

sorry_i_noob,
throttle

[Сергей]

sorry_i_noob, Если вы не хотите зависеть от сессии, то можно где-то (бд или кеш) хранить количество неверных вводов для конкретного логина и при успешном вводе очищать эти данные.

[sorry_i_noob]

Сергей, а как быть, если злоумышленник специально будет ошибаться, чтобы насолить какому-либо пользователю? Чтобы тот испытывал проблемы при входе на сайт.

[Сергей]

sorry_i_noob, Никак не быть. Просить ввести капчу. Мы же не можем отличить настоящего пользователя от злоумышленника

[Сергей]

sorry_i_noob, Мысля пришла. Например использовать каптчу до ввода правильного пароля или в течении некоторого времени.
Например ввели 5 раз неправильно пароль. Мы включили каптчу на 3 часа. Через 3 часа отключили каптчу, потом еще раз кто-то ввел 5 раз неправильно пароль и мы снова включили каптчу

[Андрей Андреев]

Сергей, для всех пользователей?

[Сергей]

Андрей Андреев, Не очень понял к какому комментарию ваш вопрос

Answer 2

[profesor08]

При ошибке ввода запиши это в какую-то сессионную переменную. Как только накопится нужное кол-во ошибок, выводи капчу. Данные храни некоторое время.

$_SESSION["pasword-errors"] = [
  [
    "type" => "passwordErorr",
    "time" => "10000000000",
    "ip" => "127.0.0.1"
  ],
  [
    "type" => "passwordErorr",
    "time" => "10000000020",
    "ip" => "127.0.0.1"
  ],
  [
    "type" => "passwordErorr",
    "time" => "10000000040",
    "ip" => "127.0.0.1"
  ]
];

Answer 3

[Андрей Андреев]

По ip? А как определить ip пользователя?

Загулите в яндексе.

ИМХО, лучше считать колличество не правильных вводов с одного IP и добавлять капчу по необходимости.