Был практически уверен, что получу такой контр аргумент..
По факту, в большинстве сайтов пользователь ВХОДИТ сразу после регистрации
Стоит провести большое исследование на предмет "повторного входа" пользователя, если сайт для него не является первоочередным (блог/новости/рецепты).
То есть, я считаю, что вероятность того, что пользователю вообще понадобится входить повторно на "ваш" сайт будет минимальна со стремлением к нулю.
Когда же ему нужен повторный вход?
Пользователь ВЫШЕЛ с сайта сам
Теоретически подвержен атаке "восстановите пароль"
Истекло время жизни куки
На большинстве известных сайтов это время больше или равно месяцу
При активном использовании ресурса, время жизни постоянно продлевается
Тогда дальше, как часто пользователи ВЫХОДЯТ сами с вашего сайта?
Если их процент низкий, например 1-5 человек из 100 — атака "восстановите пароль" будет потенциально успешной в крайне низком количестве учетных записей
Здесь же, оцените вероятность того, что данный вид атаки будет интересен, когда заведомо не известно, авторизована ли жертва в данный момент
В заключении, существуют системы защиты от атак с одного IP, COOKIE, secret_key — тогда ваш ресурс должен быть очень "интересен" для атакующего чтобы он задействовал распределенную систему "умных" ботов. Также атакующему обязательно должен быть известен ЛОГИН жертвы. И пожалуйста, не упускайте всей той информации о "вероятности" перечисленной выше.
Противостоять атаке "блокировка авторизации" на много проще чем заставить тысячи и или миллионы пользователей использовать сложные пароли.
Пожертвовать 5% пользователей, которым ВОЗМОЖНО придется восстановить пароль (сделать на одно действие больше) в угоду НЕВОЗМОЖНОСТИ взломать пароли типа "123q"… вы серьёзно?
Был практически уверен, что получу такой контр аргумент..
Когда же ему нужен повторный вход?
Тогда дальше, как часто пользователи ВЫХОДЯТ сами с вашего сайта?
В заключении, существуют системы защиты от атак с одного IP, COOKIE, secret_key — тогда ваш ресурс должен быть очень "интересен" для атакующего чтобы он задействовал распределенную систему "умных" ботов. Также атакующему обязательно должен быть известен ЛОГИН жертвы. И пожалуйста, не упускайте всей той информации о "вероятности" перечисленной выше.
Есть ли что-то плохое в ограничении попыток ввода пароля в количестве — 1 попытка?
Ведь если сложность пароля нужна для предотвращения подбора, то