È immorale mettere un captcha su un modulo di accesso?

In un recente progetto ho messo un captcha test su un modulo di login, al fine di fermare eventuali attacchi di forza bruta.È immorale mettere un captcha su un modulo di accesso?

La reazione immediata di altri colleghi è stata una richiesta di rimozione, dicendo che non era adatto a tale scopo, e che era piuttosto esotica vedere un captcha in quel luogo.

Ho visto immagini captcha su iscrizione, contatti, moduli di recupero password, ecc. Quindi personalmente non vedo inopropiate di mettere un captcha anche in un posto come quello. Beh, ovviamente brucia un po 'l'usabilità, ma è una questione di tempo e ci si abitua.

Con la mancanza di un test captcha, si dovrebbe mettere una sorta di blacklist/meccanismo di blocco dell'account, che ha anche alcuni inconvenienti.

È una buona scelta per voi? Sto diventando un po 'captcha-aholico e ho bisogno di una sorta di terapia di gruppo?

Grazie in anticipo.

fonte

2010-05-04 azkotoki

No. Sì. (Sto solo rispondendo alle domande) –

Grazie per le aswers, mi hai convinto. Sto chiamando il mio medico in questo momento ... – azkotoki

Informa i tuoi utenti di avere procedure migliori per la password e che il captcha verrà rimosso. :) Ciò significa che non ci sono più password di abc123! = p – Tony

Basta aggiungere un test CAPTCHA per i casi in cui si sono verificati tentativi di accesso non riusciti per un determinato utente. Questo è ciò che molti siti Web attualmente fanno (tutti i più diffusi servizi di posta elettronica per esempio) ed è molto meno invasivo.

Tuttavia, neutralizza completamente gli attacchi di forza bruta, a condizione che l'attaccante non possa rompere il CAPTCHA.

fonte

2010-05-04 11:05:35 intgr

Sì, buon punto. Aggiungi il CAPTCHA solo sui tentativi falliti o - come ad es. Facebook fa - se l'utente accede da una posizione insolita. –

-1. Completamente * non * ostacola gli attacchi di forza bruta, e anche se l'attaccante può facilmente rompere il captcha, non dovrebbe farlo. Vedi altre domande qui su questo argomento. – AviD

I CAPTCHA non sono necessari per un primo tentativo di accesso. Probabilmente nemmeno un secondo. Se gli manca dopo un terzo, chiedi loro di dimostrare di non essere un bot. Hanno senso nei moduli di registrazione, quindi i bot non possono creare account. Oppure aree di commento anon per evitare lo spam. Io uso un prodotto prodotto da sviluppatori troppo zelante per la sicurezza, e devi fare clic su un Recaptcha oltre a fornire nome utente e password e fare clic sul pulsante di accesso. Grande fastidio. Fornire correttamente uname e pw dovrebbe essere adeguato. Ho provato a spiegarlo a loro. Chiese loro se la loro banca l'avesse fatto. Sono braindead. Non essere braindead. – MarkS

Captcha non è una scelta molto tradizionale nei moduli di accesso. La tradizionale protezione contro gli attacchi di forza bruta sembra essere il blocco degli account. Come hai detto, ha i suoi svantaggi, ad esempio, se l'applicazione è vulnerabile all'enumerazione degli account, quindi un utente malintenzionato potrebbe facilmente eseguire un attacco denial of service.

fonte

2010-05-04 11:04:36

Ovviamente è possibile bloccare temporaneamente anziché permanentemente – Henri

Oppure è possibile consentire al brute force attacker di accedere a un account falso vuoto. –

Non è immorale di per sé. È una cattiva usabilità.

considerare le implicazioni di sicurezza: gli utenti saranno in considerazione l'accesso al essere che richiede tempo e volontà:

essere meno propensi a utilizzare il sistema a tutti
mai uscire del vostro sistema e lasciare sessioni aperte incustoditi .

Considerare altre forme di rilevamento e prevenzione di attacchi a forza bruta.

fonte

2010-05-04 11:08:03

Tenderei a essere d'accordo con i tuoi colleghi di lavoro. Un captcha può essere necessario su moduli in cui non è necessario essere autorizzati a inviare dati, perché altrimenti gli spambots li bombardano, ma non riesco a vedere quale tipo di abuso stai impedendo aggiungendo il captcha a un modulo di accesso?

Un captcha non fornisce alcuna forma di sicurezza, come farebbero le altre opzioni, come la lista nera. Semplicemente verifica che l'utente sia un essere umano, e si spera che i campi username/password lo verifichino.

Se si desidera prevenire gli attacchi bruteforce, sarebbe più utile praticamente qualsiasi altra forma di protezione, ovvero la limitazione delle richieste se ce ne sono troppi o l'interdizione degli IP se si immettono troppe password errate, ad esempio.

Inoltre, penso che si stia sottovalutando l'impatto sull'usabilità. Molti browser forniscono molte utilità per gestire i moduli username/password e tutte queste utility sono rese inutili se si aggiunge un captcha.

fonte

2010-05-04 11:08:10 AHM

-3

Molti server di posta più utilizzati (più utilizzati) non ce l'hanno ?!

fonte

2010-05-04 12:35:48 AKN

Vorrei affrontare la domanda nel titolo: la questione della moralità.

vorrei prendere in considerazione un captcha immorale nei seguenti casi:

Essa esclude la partecipazione alla applicazione a quelli con problemi fisici o mentali, quando la parte principale e lo scopo dell'applicazione altrimenti non fare tali un'esclusione.
Il meccanismo del captcha espone gli utenti a linguaggio o immagini angoscianti oltre quanto normalmente previsto nell'applicazione.
Il meccanismo di captcha presentato all'utente è ingannevole o fuorviante in qualche modo.

un CAPTCHA può anche essere considerato immorale se il suo intento è quello di escludere le intelligenze macchina veramente senzienti dalla partecipazione per motivi di pregiudizio contro i non-umani. Certo, la tecnologia non è ancora avanzata al livello in cui questo è un problema, e, inoltre, quando diventa un problema, mi aspetto che i cancelli che escludono l'uomo saranno più fattibili e comuni.

fonte

2010-05-05 15:59:06

È immorale mettere un captcha su un modulo di accesso?

risposta

Problemi correlati