Buenas prácticas sobre claves y bloqueo de cuentas

Por alguna casualidad, escuché el otro día el [mp3] OWASP 76 podcast, con Bill Cheswick sobre claves, bloqueo de cuentas y esas cosas. Estaba pensando que me había parecido bastante interesante y que debería poner un resumen por aquí cuando encontré Password and Account Lockout Better Practices que me ahorra el trabajo:

  • Bloquear la cuenta después de 3, 4 o 5 intentos
  • Utilizar un tiempo de bloqueo corto
  • Asegurarse de que errores repetidos (el mismo intento más de una vez)
    no cuentan para el bloqueo
  • Utilizar personas de confianza (previamente establecidas, por ejemplo
    la pareja de alguien) para los procesos de reestablecimiento de la clave
    (se ahorran procedimientos más complicados y costosos)
  • Hacer que los identificadores de usuario sean difíciles de conocer o
    adivinar
  • Utilizar un servicio de autentificación estándar, para no reinventar la
    rueda en cada nueva aplicación

Otro día más sobre claves.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s