Подтвердить что ты не робот

Является ли безнравственным поместить капчу в форму входа?

В недавнем проекте я поместил тест captcha в форму входа, чтобы остановить возможные атаки грубой силы.

Непосредственная реакция других сотрудников заключалась в просьбе удалить ее, сказав, что для этой цели она была не нужна, и что было довольно экзотично видеть капчу в этом месте.

Я видел изображения captcha на регистрационных, контактных, формах восстановления пароля и т.д. Поэтому я лично не вижу inapropiate, чтобы помещать капчу также в такое место. Ну, это явно сжигает юзабилити немного, но это вопрос времени и привыкания к нему.

С отсутствием теста captcha, нужно было бы поместить какой-то механизм блокировки черного списка/учетной записи, что также имеет некоторые недостатки.

Это хороший выбор для вас? Я получаю несколько captcha-aholic и нуждаюсь в какой-то групповой терапии?

Спасибо заранее.

4b9b3361

ОТВЕТЫ

Ответ 1

Просто добавьте тест CAPTCHA для случаев, когда были неудачные попытки входа для данного пользователя. Это то, что сейчас делают многие веб-сайты (например, все популярные почтовые службы) и гораздо менее инвазивны.

Тем не менее, он полностью блокирует атаки грубой силы, пока атакующий не может сломать ваш CAPTCHA.

Ответ 2

Это не безнравственно. Это плохое использование.

Рассмотрите последствия для безопасности: пользователи рассмотрят возможность входа в систему и будут:

  • будет менее вероятно использовать вашу систему вообще
  • никогда не выходите из системы и оставляйте открытые сеансы без присмотра.

Рассмотрите другие формы обнаружения и предотвращения атаки грубой силы.

Ответ 3

Captcha - не очень традиционный выбор в формах входа. Традиционная защита от атак с использованием грубой силы, по-видимому, является блокировкой учетных записей. Как вы сказали, у него есть свои недостатки, например, если ваше приложение уязвимо для перечисления учетной записи, тогда злоумышленник может легко выполнить атаку отказа в обслуживании.

Ответ 4

Я хотел бы согласиться с вашими коллегами. В формах, где вам не нужно быть уполномоченным отправлять данные, может потребоваться перехват, потому что в противном случае спам-боты будут бомбить их, но я не вижу, какое злоупотребление вы предотвращаете, добавляя капчу к форме входа в систему?

Капча не предоставляет какой-либо формы securtiy, как ваши другие варианты, как черный список. Он просто проверяет, что пользователь является человеком, и, надеюсь, поля имени пользователя и пароля подтвердят это.

Если вы хотите предотвратить атаки с использованием bruteforce, то почти любая другая форма защиты была бы более полезной - подавление запросов, если их слишком много, или запрещение IP-адресов, если, например, ввести неправильные пароли слишком много раз.

Кроме того, я думаю, вы недооцениваете влияние на удобство использования. Многие браузеры предоставляют множество утилит для работы с форматами имени пользователя и пароля, и все эти утилиты становятся бесполезными, если вы добавляете captcha.

Ответ 5

Я хотел бы затронуть вопрос в названии - вопрос о нравственности.

Я бы подумал, что качча аморальна при следующих обстоятельствах:

  • Это исключает участие в заявке тем, у кого есть физические или умственные проблемы, когда основная часть и цель приложения в противном случае не сделают такое исключение.

  • Механизм captcha подвергает пользователей тревожным языкам или изображениям, превышающим то, что обычно ожидалось в приложении.

  • Механизм захвата, представленный пользователю, является обманчивым или вводящим в заблуждение каким-либо образом.

Капча может также считаться аморальным, если его намерение состоит в том, чтобы исключить искренне разумные интеллектуальные машины из участия по причинам предрассудков в отношении нечеловеков. Разумеется, технология еще не дошла до уровня, на котором это проблема, и, кроме того, когда это становится проблемой, я ожидаю, что ворота, исключающие человека, станут более осуществимыми и обычными.

Ответ 6

У многих популярных (наиболее часто используемых) почтовых серверов нет?!