Est-ce immoral de mettre un captcha sur un formulaire de connexion?

dans un projet récent j'ai mis un test captcha sur un formulaire de connexion, afin d'arrêter les éventuelles attaques par la force brute.

la réaction immédiate d'autres collègues fut une demande de l'enlever, disant qu'il était inapropié à cet effet, et qu'il était assez exotique de voir un captcha à cet endroit.

j'ai vu des images captcha sur les formulaires d'inscription, de contact, de récupération de mot de passe, etc. Personnellement, je ne vois pas d'inconvénient à mettre un captcha aussi dans un endroit comme celui-là. Eh bien, il évidemment brûle facilité d'utilisation un peu, mais c'est une question de temps et de s'habituer à elle.

en l'absence d'un test captcha, il faudrait mettre en place une sorte de mécanisme de liste noire / verrouillage de compte, qui a aussi quelques inconvénients.

Est-ce un bon choix pour vous? Est-ce que je suis un peu captcha-aholique et j'ai besoin d'une sorte de thérapie de groupe?

Merci d'avance.

18
demandé sur azkotoki 2010-05-04 14:59:21

6 réponses

il suffit d'ajouter un test CAPTCHA pour les cas où il y a eu des tentatives de connexion ratées pour un utilisateur donné. C'est ce que font actuellement de nombreux sites web (tous les services de messagerie populaires, par exemple) et c'est beaucoup moins invasif.

pourtant il contrecarre complètement les attaques de force brute, tant que l'attaquant ne peut pas briser votre CAPTCHA.

33
répondu intgr 2010-05-04 11:05:35

Ce n'est pas immoral en soi. C'est une mauvaise utilisation.

Considérer les implications de sécurité: les utilisateurs considèrent l'exploitation forestière dans beaucoup de temps et:

  • être moins susceptibles d'utiliser votre système à tous
  • ne vous déconnectez jamais de votre système et laissez les sessions ouvertes sans surveillance.

envisager d'autres formes de détection et de prévention des attaques par la force brute.

8
répondu Tadeusz A. Kadłubowski 2010-05-04 11:08:03

Captcha n'est pas un choix très traditionnel dans les formulaires de connexion. La protection traditionnelle contre les attaques par la force brute semble être le verrouillage des comptes. Comme vous l'avez dit, il a ses inconvénients, par exemple, si votre application est vulnérable compte énumération, un attaquant pourrait facilement effectuer une attaque de déni de service.

5
répondu Kim L 2010-05-04 11:04:36

j'aurais tendance à être d'accord avec vos collègues. Un captcha peut être nécessaire sur les formulaires où vous n'avez pas à être autorisé à soumettre des données, parce que sinon les spambots vont les bombarder, mais je ne vois pas quel type d'abus vous empêchez en ajoutant le captcha à un formulaire de connexion?

a captcha ne fournit aucune forme de sécurité, comme le ferait vos autres options, comme la liste noire. Il vérifie juste que l'utilisateur est un être humain, et avec un peu de chance les champs Nom d'utilisateur / mot de passe permettrait de vérifier que.

si vous voulez empêcher les attaques de bruteforce, alors presque toute autre forme de protection serait plus utile en étouffant les requêtes s'il y en a trop, ou en bannissant IPs si le mot de passe entre trop de fois, par exemple.

en outre, je pense que vous sous-estimez l'impact sur la convivialité. Beaucoup de navigateurs fournissent beaucoup d'utilitaires pour traiter les formulaires nom d'utilisateur/mot de passe et tous ces utilitaires sont rendus inutiles si vous ajoutez un CAPTCHA.

3
répondu AHM 2010-05-04 11:08:10

je voudrais aborder la question dans le titre-la question de la moralité.

je le considère comme un captcha immoral dans les circonstances suivantes:

  1. elle exclut la participation à la demande des personnes ayant des difficultés physiques ou mentales, alors que la partie principale et l'objet de la demande ne constitueraient pas une telle exclusion.

  2. le mécanisme du captcha expose les utilisateurs à un langage ou images au-delà de ce qui est normalement prévu dans la demande.

  3. le mécanisme captcha tel que présenté à l'utilisateur est trompeur ou trompeur d'une certaine façon.

un captcha peut aussi être considéré comme immoral si son but est d'exclure de la participation les intelligences réellement sensibles des machines pour des raisons de préjugé contre les non-humains. Bien sûr, la technologie n'a pas encore atteint le niveau de cette question, et, de plus, quand il est devenu un problème, je m'attends humain-excluant les portes sera plus faisable et commun.

3
répondu Jeffrey L Whitledge 2010-05-05 15:59:06

beaucoup de serveurs de messagerie populaires (les plus utilisés) ne l'ont pas?!

-3
répondu AKN 2010-05-04 12:35:48