Por alguna casualidad, escuché el otro día el [mp3] OWASP 76 podcast, con Bill Cheswick sobre claves, bloqueo de cuentas y esas cosas. Estaba pensando que me había parecido bastante interesante y que debería poner un resumen por aquí cuando encontré Password and Account Lockout Better Practices que me ahorra el trabajo:
- Bloquear la cuenta después de 3, 4 o 5 intentos
- Utilizar un tiempo de bloqueo corto
- Asegurarse de que errores repetidos (el mismo intento más de una vez)
no cuentan para el bloqueo - Utilizar personas de confianza (previamente establecidas, por ejemplo
la pareja de alguien) para los procesos de reestablecimiento de la clave
(se ahorran procedimientos más complicados y costosos) - Hacer que los identificadores de usuario sean difíciles de conocer o
adivinar - Utilizar un servicio de autentificación estándar, para no reinventar la
rueda en cada nueva aplicación
Otro día más sobre claves.
