Аморально ли ставить капчу на регистрационную форму?
В недавнем проекте я поставил тест капчи на форму входа, чтобы остановить возможные атаки грубой силы.
Немедленной реакцией других сотрудников была просьба удалить его, сказав, что он не подходит для этой цели, и что было довольно экзотично видеть капчу в этом месте.Я видел изображения капчи при регистрации, контактах, формах восстановления пароля и т. д. Так что лично я не вижу смысла ставить капчу и на такое место. Ну, он явно горит немного снизился уровень юзабилити, но это вопрос времени и привыкания к нему.
При отсутствии теста капчи, нужно было бы поставить какой-то черный список / механизм блокировки аккаунта, который также имеет некоторые недостатки.
Это хороший выбор для вас? Может быть, я становлюсь немного капча-алкоголиком и нуждаюсь в какой-то групповой терапии?
Заранее благодарю.
6 ответов:
Просто добавьте тест CAPTCHA для случаев, когда были неудачные попытки входа для данного пользователя. Это то, что многие веб-сайты в настоящее время делают (все популярные почтовые сервисы, например) и гораздо менее агрессивно.
Тем не менее, он полностью блокирует атаки грубой силы, пока атакующий не может сломать вашу капчу.
Это не аморально само по себе. Это плохая практичность.
Рассмотрим последствия для безопасности: пользователи будут считать вход в систему отнимающим много времени и будут:
Рассмотрим другие формы обнаружения и предотвращения атак грубой силы.
- Будьте менее склонны использовать вашу систему вообще
- никогда не выходите из системы и не оставляйте открытые сессии без присмотра.
Капча не очень традиционный выбор в формах входа. Традиционной защитой от атак грубой силы, по-видимому, является блокировка учетной записи. Как вы сказали, у него есть свои недостатки, например, если ваше приложение уязвимо для перечисления учетных записей, то злоумышленник может легко выполнить атаку отказа в обслуживании.
Я склонен согласиться с вашими коллегами. Капча может быть необходима на формах, где вы не должны быть авторизованы для отправки данных, потому что в противном случае спам-боты будут бомбить их, но я не вижу, какие злоупотребления вы предотвращаете, добавляя капчу в форму входа?
Капча не обеспечивает никакой формы безопасности, как ваши другие варианты, такие как черный список. Он просто проверяет, что пользователь-человек, и, надеюсь, поля имени пользователя / пароля будут проверьте это.
Если вы хотите предотвратить атаки bruteforce, то почти любая другая форма защиты будет более полезной - дросселирование запросов, если их слишком много, или запрет IP-адресов, если вводите неправильные пароли слишком много раз, например.
Кроме того, я думаю, что вы недооцениваете влияние на удобство использования. Многие браузеры предоставляют множество утилит для работы с формами имени пользователя / пароля, и все эти утилиты становятся бесполезными, если вы добавляете капчу.
Я хотел бы обратиться к вопросу в названии-к вопросу о морали.
Я бы счел капчу аморальной при следующих обстоятельствах:
Капча также может считаться аморальной, если ее целью является исключение подлинно разумных машинных разумных существ из участия по причинам предубеждения против нелюдей. Конечно, технология еще не продвинулась до уровня, на котором это является проблемой, и, кроме того, когда это станет проблемой, я ожидаю, что Гейтс, исключающий человека, будет будьте более осуществимы и распространены.
Он исключает участие в заявке лиц с физическими или психическими проблемами, когда основная часть и цель заявки в противном случае не сделали бы такого исключения.
Механизм капчи подвергает пользователей удручающему языку или изображениям, выходящим за рамки того, что обычно следует ожидать в приложении.
Механизм капчи, представленный пользователю, является обманчивым или вводящим в заблуждение каким-либо образом.