Rosnący czas oczekiwania na ponowną próbę logowania

3

Wiem że większość użytkowników ma jedno hasło do wielu serwisów (ewentualnie z alternatywami typu "kotek", "kotek1", "kotek11", "kotek!", etc.) ale ja raczej do nich nie należę. Pamiętam około 10-15 haseł, a do tego na większości serwisów pozostaję cały czas zalogowany, więc nie wpisuję ich tak często. Z Logowaniem do google i stackoverflow nie ma problemu bo tam można próbować i 100 razy zanim strona pomyśli że brute'forcuję. Tutaj niestety po 3-5 próbach muszę czekać 5 minut :o Najczęściej wtedy klikam "Przypomnij hasło" zamiast czekać (przynajmniej zaloguję się szybciej) co jeszcze pogarsza problem później, bo nie zaloguję się poprzednim tylko nowym hasłem..

Więc, skoro system jest w stanie rozpoznać który raz z kolei się loguje, czemu nie może być tak że:

  • od 3ciego razu mam czekać 2 sekundy
  • po 4tym nieudanym 3 sekundy
  • po 5tym nieudanym 5 sekund
  • po 6tym nie udanym 8 sekund

I tak dalej. Po prostu rosnąca ilość

0

Zapewne wykorzystany jest domyślny mechanizm z laravela a tam jest po prostu jedna wartość. Przy tym co podajesz trzeba napisać wszystko customowo od zera.

1

To może wykorzystaj logowanie za pomocą github'a, czy google?

2
mr_jaro napisał(a):

Zapewne wykorzystany jest domyślny mechanizm z laravela a tam jest po prostu jedna wartość. Przy tym co podajesz trzeba napisać wszystko customowo od zera.

"wszystko customowo od zera" czyli skorzystać z już istniejącego API od Laravela?

15 sekund zajęło mi żeby to znaleźć w google: https://laracasts.com/discuss/channels/laravel/customize-laravel-login-throttling-54

0

@TomRiddle: nie do końca no bo tutaj masz po prostu zmianę domyślnych wartości, ustawiasz pojedynczo czas na stałe, nie ustawisz kilku czasów.

1
mr_jaro napisał(a):

@TomRiddle: nie do końca no bo tutaj masz po prostu zmianę domyślnych wartości, ustawiasz pojedynczo czas na stałe, nie ustawisz kilku czasów.

No ale w runtime'ie - wiec można je uzależnić od czegoś, np return pow($attempts, 1.5);

1
TomRiddle napisał(a):

No ale w runtime'ie - wiec można je uzależnić od czegoś, np return pow($attempts, 1.5);

Raczej w ten sposób – return pow($attempts, 15); – to powinno pomóc, jeśli macie problem z pamięcią. ;)

2
furious programming napisał(a):
TomRiddle napisał(a):

No ale w runtime'ie - wiec można je uzależnić od czegoś, np return pow($attempts, 1.5);

Raczej w ten sposób – return pow($attempts, 15); – to powinno pomóc, jeśli macie problem z pamięcią. ;)

Yyy... 2 do 15tej to jakieś 9 godzin ;|

Very funny.

3

Polecam użycie menadżera haseł jeżeli masz problemy z zapamiętaniem hasła (np. KeePass). Możesz ustawić skrót klawiaturowy, który po prostu uzupełni Ci formularz logowania więc jest to sprawne i szybkie.

0
Adam Boduch napisał(a):

Polecam użycie menadżera haseł jeżeli masz problemy z zapamiętaniem hasła (np. KeePass). Możesz ustawić skrót klawiaturowy, który po prostu uzupełni Ci formularz logowania więc jest to sprawne i szybkie.

Pod warunkiem że pracujesz na jednym komputerze (ja mam dwa w pracy i dwa w domu). Nie wiem czy ten KeePass ma opcje synchronizacji, może ma - nie wiem. Noi pod warunkiem że nie chcesz się logować gdzieś na komórce, w bibliotece, na kompie u kumpla, etc.

Tak czy tak, nie specjalnie jestem zainteresowany 3rd-party rozwiązaniami, wolałbym sobie 4-6 razy wpisać hasło. Na prawdę implementacja jest tak trudna że aż proponuje się zewnętrzne rozwiązania?

2

Póki co jesteś jedyną osobą, która ma z tym problem, więc na skali od 1 do 18 milionów umieściłbym priorytet tej zmiany gdzieś koło 3,5.
Zawsze możesz sam przygotować PR po wstępnej dyskusji, że jest to zmiana, która przypasuje większości (zainteresowanym).

//LastPass synchronizuje hasła, działa na przeglądarkach wszelakich, na nowym Androidzie też przy 90% stron ogarnia.//

1
Marooned napisał(a):

Póki co jesteś jedyną osobą, która ma z tym problem, więc na skali od 1 do 18 milionów umieściłbym priorytet tej zmiany gdzieś koło 3,5.

Agree, ale są też inne powody. Np taki ze rosnący block sprawia wrażenie nowoczesnej strony, zamiast takiego 299 sekund na stałe - podobnie jak captcha od Google sprawiają lepsze wrażenie strony niż captcha "jeden minus dwa".

Zawsze możesz sam przygotować PR po wstępnej dyskusji, że jest to zmiana, która przypasuje większości (zainteresowanym).

Chyba będę musiał.

//LastPass synchronizuje hasła, działa na przeglądarkach wszelakich, na nowym Androidzie też przy 90% stron ogarnia.//

No tak, co do pierwszego argumentu zgoda. Mój drugi argument o logowaniu się na nowych urządzeniach ciągle persists.

1
TomRiddle napisał(a):
  • od 3ciego razu mam czekać 2 sekundy
  • po 4tym nieudanym 3 sekundy
  • po 5tym nieudanym 5 sekund
  • po 6tym nie udanym 8 sekund

I tak dalej. Po prostu rosnąca ilość

Ja bym dał może stałe 2 sekundy i 24-godzinnego bana resetowalnego przyciskiem "zapomniałem hasła" gdzieś za setnym razem ;-)

1 użytkowników online, w tym zalogowanych: 0, gości: 1