ここで回避しようとしているのは、ユーザーのパスワードに対するブルートフォース攻撃です。そして、私は同じ分、時間、日、またはそれに類似したものであまりにも多くの試みがなされたときに彼のパスワードを無効にすることによってそれを行うことを考えています。 ユーザー資格情報は、Android appで出張中の会社の従業員向けです。
しかし、同時に、ユーザーが挿入するときにいくつかのミスをして、必要なく無効にしてほしくない。
いくらですか?または、代わりに、どのくらいの量で十分かをどのように判断しますか?
別の言い方をすると、ヘルプデスクに連絡する前にパスワードを挿入しているときに人間が犯す可能性のある最大の間違いは何でしょうか。
編集:認証メカニズムはネットワークを介して行われます。アプリは、適切なユーザーがログインすると、会社のサーバーから更新された情報を取得します。
この質問は、何年にもわたってStackExchangeネットワーク全体で何度も尋ねられてきました。回答の概要は次のとおりです。
推奨事項
完全な議論を参照してください なぜサイトは3回のパスワード試行の失敗後にロックを実装するのですか? Security.SEで。
私の個人的な推奨事項
私は、人々が頻繁に資格情報を忘れてしまい、システムを覚えておくほど頻繁にシステムを使用しないため、設計が不十分なシステムを扱っています。システムは、5回の試行が失敗した後(おそらく)、ユーザーアカウントを自動的にロックします。ロックを使用するには、私のチームのメンバーが管理コンソールにアクセスし、ユーザーパスワードを手動でリセットし、一時パスワードを使用して手動でメールを送信する必要があります。無駄な時間は恐ろしいですが、システムはベンダーによって提供されており、変更することはできません。
どちらのシステム、プロトコル、ワークフローを使用する場合でも、現場のユーザーがアカウントへのアクセスを復元するのに15分も待つ余裕がないようにする必要があります。したがって、セルフサービスの再アクティブ化プロセスを作成する必要があります。パスワードリセットリンクを含むメールをユーザーに送信するだけの簡単な場合もあります。
また、すべてのシステムステータスインジケーターを追跡します。
単にパスワードを無効にするのではなく、Androidが独自のシステムで使用するものと同様の戦略を実装する価値があります。
メモリからは、5分のロックアウトを開始する前に、5回の試行のルールを使用していると思います。別の5回の失敗した試行が発生した場合、ロックアウト時間は増加します(その2回目の試行に失敗したことがないので、何をすべきかわかりません)。
たぶん、別のことを試してみるべきですか?たとえば、iPadおよびおそらく他のAppleモバイルデバイスで3回の無効なログイン試行に対して5分のペナルティを取得し、次の試行ごとにそのペナルティを長く取得します。
また、入力したパスワードを使用せず、代わりにいくつかのタッチジェスチャーを使用するモバイルアプリも増えています。このソリューションは、残忍な力のハッキング方法を完全に排除します。
使いやすさの観点から?無限。ヘルプがユーザーに明確に強調されます。
セキュリティの観点から?これは、セキュリティスタックの交換のためのものです。アンドリューの答えは良いようですが。