Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Brute-Force-Schutz für ein Login-Formular

Login-Formulare bedürfen eines besonderen Schutzes, da der  Anwender in der Regel nach erfolgreichem Login authorisiert wird, auf Daten zuzugreifen. Missbrauch von Logins sollten daher mit einem Banning abgestraft werden. Verwenden Sie dazu das Plugin security\intrusion_detection. 

Controller
Codeblock
languagephpthemeRDark
titleController
use brandbox\security\intrusion_detection;
...
/**
 * @param string $username
 * @param string $password
 */
public function login($username, $password) {

  $engineIntrusionDetection = $this
    ->getAppFactory(intrusion_detection\engine::class)
  ;

  $formIdentificationKey = 'my-login';
  
  // Anwender ist bereits gesperrt
  if($engineIntrusionDetection->isBanned($formIdentificationKey, $throwBanMessage = true)):
    throw new lib\exception\yourException();
  endif;

  // Brute Force Attacke verhindern
  if(true !== $engineIntrusionDetection->isValidRequest()):
    $engineIntrusionDetection->banIP($formIdentificationKey, $setIsBanned = true, $lifetime = 30);
    throw new lib\exception\yourException();
  endif;
}

Nach nochmaligem Aufruf des Logins soll dem Anwender das Login-Fenster nicht mehr angezeigt werden. 
In diesem Beispiel wurde der Anwender für 30 Sekunden gesperrt. Das Login-Fenster blenden Sie wie folgt aus:

View
Codeblock
languagexml
themeRDark
titleView
{{#isNotBanned "my-login"}}
  <form>...</form>
{{/isNotBanned}}

Banning-Regeln 

  • Ein Anwender darf sich mit der gleichen IP 4x in 10 Minuten anmelden

  • Beliebig viele  Anwender der selben IP dürfen sich 100x in 10 Minuten anmelden

  • Ein Anwender darf sich mit der gleichen IP 8x in 60 Minuten anmelden

  • Beliebig viele Anwender einer IP dürfen sich 600x in 60 Minuten anmelden

Brute-Force-Schutz mit Captcha

Es ist möglich, Formulare mit einem Captcha anzureichern, falls der Anwender geblockt wurde. In diesem Fall werden Anwender nicht gebanned.

Controller
Codeblock
languagephp
themeRDark
titleController
use brandbox\security\intrusion_detection;
...
/**
 * @param string $username
 * @param string $password
 */
public function login($username, $password) {

  $engineIntrusionDetection = $this
    ->getAppFactory(intrusion_detection\engine::class)
  ;

  $formIdentificationKey = 'my-login';
  
  // Anwender ist bereits gesperrt
  if($engineIntrusionDetection->isBlocked($formIdentificationKey)):
    throw new lib\exception\yourException();
  endif;

  // Anwender hat ein Captcha eingegben.
  // Bei Erfolg wird das banning aufgehoben und der Zyklus startet von vorn.
  if(!empty($captcha)):
    if(true === $engineIntrusionDetection->isValidCaptcha($captcha)):
      $engineIntrusionDetection->removeBanIP($formIdentificationKey);
    endif;
  endif;

  // Brute Force Attacke verhindern
  if(true !== $engineIntrusionDetection->isValidRequest()):
    $engineIntrusionDetection->banIP(
      $formIdentificationKey, 
      $setIsBanned = false, 
      $lifetime = 60 * 60
    );
    throw new lib\exception\yourException();
  endif;
}


View
Codeblock
languagexml
themeRDark
titleView
{{#isNotBanned "my-login"}}
  <input type="input" name="captcha" id="captcha" value="" />
  <img src="{{captchaBase64}}" width="160" height="75" />
{{/isNotBanned}}

...