Аморально ли ставить капчу в форму входа?

Question

В одном из недавних проектов я поместил тест с капчей в форму для входа, чтобы остановить возможные атаки методом перебора.

Непосредственной реакцией других сотрудников была просьба убрать ее, заявив, что она была нецелесообразна для этой цели и что было довольно экзотично видеть капчу в этом месте.

Я видел изображения капчи в регистрационной форме, контактах, формах восстановления пароля и т. Д. Поэтому я лично не вижу неуместным ставить капчу также в таком месте. Ну, это, очевидно, немного подрывает удобство использования, но это вопрос времени и привыкания к нему.

Из-за отсутствия теста с использованием капчи нужно было бы создать какой-то механизм блокировки черного списка / учетной записи, что также имеет некоторые недостатки.

Это хороший выбор для вас? Я немного болею капча-алкоголиком и мне нужна групповая терапия?

Заранее спасибо.

Answer 1

Просто добавьте тест CAPTCHA для случаев, когда были неудачные попытки входа в систему для данного пользователя.Это то, что в настоящее время делают многие веб-сайты (например, все популярные почтовые сервисы) и гораздо менее инвазивны.

Тем не менее, он полностью предотвращает атаки методом "грубой силы", пока злоумышленник не может сломать вашу CAPTCHA.

Answer 2

Это не аморально само по себе. Это плохое удобство использования.

Рассмотрим последствия для безопасности: пользователи будут считать, что вход в систему занимает много времени, и будут:

• с меньшей вероятностью будет использовать вашу систему вообще
• никогда не выходите из системы и не оставляйте открытые сессии без присмотра.

Рассмотрим другие формы обнаружения и предотвращения атаки методом перебора.

Answer 3

Captcha не очень традиционный выбор в формах входа. Традиционная защита от атак грубой силы - это блокировка аккаунта. Как вы сказали, у него есть свои недостатки, например, если ваше приложение уязвимо для перечисления учетных записей, то злоумышленник может легко выполнить атаку типа «отказ в обслуживании».

Answer 4

Я бы хотел договориться с вашими коллегами. Капча может быть необходима в формах, где вам не нужно авторизоваться для отправки данных, потому что в противном случае спам-боты будут бомбить их, но я не вижу, какого рода злоупотребления вы предотвращаете, добавив капчу в форму входа?

Капча не обеспечивает никакой безопасности, как другие варианты, такие как черный список. Он только подтверждает, что пользователь является человеком, и, надеюсь, поля имени пользователя и пароля подтвердят это.

Если вы хотите предотвратить атаки с использованием грубой силы, тогда почти любая другая форма защиты будет более полезной - удушение запросов, если их слишком много, или запрет IP-адресов, если, например, вводите неправильные пароли слишком много раз.

Кроме того, я думаю, что вы недооцениваете влияние на удобство использования. Многие браузеры предоставляют множество утилит для работы с формами имени пользователя и пароля, и все эти утилиты оказываются бесполезными, если вы добавите капчу.

Answer 5

Я хотел бы затронуть вопрос в названии - вопрос морали.

Я бы считал капчу аморальной при следующих обстоятельствах:

1. Исключает участие в заявке для лиц с физическими или умственными недостатками, когда основная часть и цель заявки в противном случае не сделали бы такое исключение.

2. Механизм капчи подвергает пользователей беспокойству по поводу языка или изображений сверх того, что обычно ожидается в приложении.

3. Механизм капчи, представленный пользователю, обманчив или вводит в заблуждение.

Капчу также можно считать аморальной, если ее цель состоит в том, чтобы исключить подлинно разумные машинные интеллекты из участия по причинам предубеждения против не-людей. Конечно, технология еще не достигла уровня, на котором это является проблемой, и, кроме того, когда она действительно станет проблемой, я ожидаю, что ворота, исключающие человека, будут более выполнимыми и распространенными.

Answer 6

У многих популярных (наиболее используемых) почтовых серверов его нет?!