로그인 양식에 보안 문자를 삽입하는 것이 부도덕 한 일입니까?

Question

최근 프로젝트에서 가능한 무차별 공격을 막기 위해 로그인 양식에 보안 문자 테스트를 실시했습니다.

다른 동료들의 즉각적인 반응은 그것을 제거하기위한 요청이었습니다. 그 목적을 위해 부적절한 것으로 말하면서, 그 장소에서 보안관을 보는 것은 상당히 이국적이었습니다.

가입, 연락처, 비밀번호 복구 양식 등에서 captcha 이미지를 보았습니다. 개인적으로 그 장소에 보안 문자를 넣지 않아도 표시되지 않습니다. 글쎄, 그것은 분명히 유용성을 조금 떨어 뜨립니다. 그러나 시간 문제이며 그것에 익숙해 져 있습니다.

captcha 테스트가 없으므로 블랙리스트/계정 잠금 메커니즘을 사용해야 할 수도 있습니다.이 메커니즘에는 몇 가지 단점이 있습니다.

당신에게 좋은 선택입니까? 나는 약간의 captcha-aholic을 얻고 그룹 치료의 어떤 종류를 필요로 하느냐?

미리 감사드립니다.

Answer 1

주어진 사용자에 대한 로그인 시도가 실패한 경우를 대비하여 CAPTCHA 테스트를 추가하기 만하면됩니다. 이것은 많은 웹 사이트가 현재하고있는 일이며 (예를 들어 모든 인기있는 이메일 서비스) 훨씬 덜 침략적입니다.

그러나 공격자가 보안 문자를 끊을 수없는 한 완전히 무차별 공격을 저지합니다.

Answer 2

Captcha는 로그인 양식에서 매우 전통적인 선택이 아닙니다. 무차별 공격에 대한 전통적인 보호는 계정 잠금으로 보입니다. 예를 들어, 응용 프로그램이 계정 열거에 취약한 경우 공격자는 쉽게 서비스 거부 공격을 수행 할 수 있습니다.

Answer 3

그것은 비도덕적이지 않습니다. 그것은 유용성이 좋지 않습니다.

는 보안 관련 사항을 고려 : 사용자가 소비하는 시간으로 로그인 고려할 것이다 것 :

• 시스템에서 로그 아웃 결코 모든
• 에서 시스템을 사용하지 않고 무인 열린 세션을 떠날 확률이 적은 .

다른 형태의 brute-force 공격 탐지 및 예방을 고려하십시오.

Answer 4

나는 귀하의 동료들과 동의하는 경향이 있습니다. 데이터를 제출할 권한이없는 양식에는 captcha가 필요할 수 있습니다. 그렇지 않으면 스팸봇이 폭탄을 터뜨릴 수 있기 때문입니다. 그러나 로그인 양식에 captcha를 추가하여 어떤 종류의 악용을 막을 수 있습니까?

보안 문자는 차단 목록과 같은 다른 옵션의 보안 방법을 제공하지 않습니다. 그것은 단지 사용자가 인간이라는 것을 검증하고, 사용자 이름/암호 필드가 그것을 확인하기를 바랍니다.

bruteforce 공격을 막으려면 거의 모든 다른 형태의 보호가 유용 할 수 있습니다. 너무 많으면 요청을 줄이거 나 잘못된 암호를 너무 많이 입력하면 IP를 금지합니다.

또한 사용성에 미치는 영향을 과소 평가하고 있다고 생각합니다. 많은 브라우저는 사용자 이름/비밀번호 양식을 처리 할 수있는 많은 유틸리티를 제공하며 보안 문자를 추가하면 이러한 모든 유틸리티는 쓸모 없게됩니다.

Answer 5

많은 인기있는 (가장 많이 사용되는) 메일 서버가 없습니까?!

Answer 6

제목에 나오는 질문 - 도덕성 문제에 대해 말씀 드리고 싶습니다.

나는 다음과 같은 상황에서 부도덕 한 보안 문자를 고려할

:

1. 이 응용 프로그램의 주요 부분과 목적이 다른 같은하지 것이다 신체적 또는 정신적 문제를 가진 사람들에게 응용 프로그램의 참여를 배제 배제.

2. captcha의 메커니즘은 사용자가 일반적으로 응용 프로그램에서 예상되는 것 이상의 비참한 언어 ​​나 이미지를 노출시킵니다.

3. 사용자에게 표시되는 보안 문자 메커니즘은 어떤면에서는기만적이고 오도 된 것입니다. 의도가 아닌 인간에 대한 편견을 이유로 참여 진정으로 감각이 기계의 지능을 제외 할 경우

보안 문자

도 부도덕 한 것으로 간주 할 수있다. 물론 기술은 아직 이것이 문제가되는 수준으로 나아 가지 않았고, 문제가 될 때 인간을 제외하는 문이 더 실현 가능하고 공통적 일 것이라고 기대합니다.