Foro de elhacker.net

Pues eso. Quiero saber como se llama esa caracteristica o propiedad que tienen algunas paginas. Cuando alguien intenta conectarse con usuario y contraseña a cierta pagina web, si el intento es fallido por tres veces, por ejemplo, se le bloquea la cuenta. ¿Como se hace y que es este 'sistema' de seguridad en el login? (Si es que es eso)...

Sin mucho misterio, en español se llama "limitar intentos de inicio de sesión"

En algunos sistemas esa característica es una "directiva de bloqueo de cuenta" o "umbral de bloqueo"

Resulta que al menos yo, he encontrado poca informacion al respecto. Estaba preparando un ataque con fuerza bruta, pero si se limita los login a solo tres o cuatro, el ataque de fuerza bruta sera totalmente fallido. O eso creo.

La limitación dependerá de cada caso obviamente.

Si es acceso a través de web o algo por el estilo, el que se controle el número de intentos ya dependerá de muchos factores y de una programación desde el servidor. Si es un sistema operativo, suele estar integrado de base.

No se puede hablar de algo "universal". Por ejemplo en acceso a bases MySql no viene integrado de base (aunque se puede implementar por otros medios), SQL Server tiene un log dedicado a eso si no recuerdo mal, etc... cada sistema funciona a su manera

Además es mal sistema.

Fíjate que si alguien quiere J0D3R73 la cuenta, le basta varios intentos de login y zas... cuenta bloqueada, ahora vas tu a tu login y sin comerlo ni beberlo te complica la vida.

Los login, debieran basar el usuario bien diferenciado del alias.
Tú por ejemplo par aloguearte en este foro, usas como usuario: cam92 y la contraseña que sea, cam92 es al mismo tiempo tu alias en el foro (como le sucede a todos). Si el foro, pongamos dispone de límite de intentos y luego bloquea, si alguien quiere fastidiarte, introduce cam92 y cualquier cosa como contraseña... a lo sumo lo que debería bloquearse es la IP, y el bloqueo debería ser o por tiempo limitado o exigir más datos... ambas cosas resultan egorrosas.

Ahora si tu alias en el foro es cam92 y tu usuario (con el que te logueas), no lo sabe nadie... nadie podría más que tú bloquear tu intento de login. Obviamente siempre podrías tener una intrusión en tu equipo que dejara al descubierto tu usaurio, pero desde el foro, tu usaurio queda expuesto a todo el mundo, y no es un decir, es exactamente así.

Los sistemas d elogin, están mal diseñados... al final es solo la contraseña, la que tiene que 'tragar con todo', cuando el propio usuario debería hacer parte del trabajo al filtrar los intentos, quedando perfectamente separado lo quie es el usuario para el login y lo que es el Alias en el servicio en el que se loguea...... en fin, el mundo está regido por lumbreras apagadas, solo humean tóxicamente...

Depende, hay otras posibilidades.

Por ejemplo que tras un número "x" de intentos bloquee la cuenta y envíe un correo electrónico al dueño de la cuenta para que la desbloquee desde una página que aparezca en el correo, y de paso avisarle de que "alguien" está intentando entrar con su cuenta.

De todos modos es un sistema que depende del entorno. En un foro por ejemplo es una cosa, en una red corporativa, un acceso a una base de datos son datos sensibles, etc... aparte de logs registrando esa actividad, el bloqueo de la cuenta debe de ser inmediato, y si es el propio usuario que explique al administrador porque no recuerda su contraseña.

No existe una solución universal, solo multiples escenarios que requieren cada uno de su propia solución