Czy umieszczenie captcha w formularzu logowania jest niemoralne?

Question

W ostatnim projekcie umieszczam test captcha na formularzu logowania, aby powstrzymać możliwe ataki brute force.

Bezpośrednią reakcją innych współpracowników była prośba o ich usunięcie, mówiąc, że w tym celu była ona nieodpowiednia, i że w tym miejscu było dość egzotycznie.

Widziałem obrazy captcha podczas rejestracji, kontaktu, formularzy odzyskiwania haseł itp. Więc osobiście nie widzę niewłaściwego ustawienia captcha również w takim miejscu. Cóż, to oczywiście trochę upośledza użyteczność, ale to kwestia czasu i przyzwyczajenie się do tego.

Z braku testu captcha, należałoby wprowadzić mechanizm blokowania czarnej listy/konta, który również ma pewne wady.

Czy to dobry wybór dla Ciebie? Czy dostaję lekkiego uczucia i potrzebuję jakiejś terapii grupowej?

Z góry dziękuję.

Answer 1

Po prostu dodaj test CAPTCHA dla przypadków, gdy nieudane próby logowania dla danego użytkownika. To właśnie robi wiele stron internetowych (na przykład wszystkie popularne usługi pocztowe) i jest znacznie mniej inwazyjne.

Mimo to całkowicie zaatakował brutalne ataki, o ile atakujący nie może złamać twojego CAPTCHA.

Answer 2

Captcha nie jest bardzo tradycyjnym wyborem w formularzach logowania. Tradycyjna ochrona przed atakami brutalnej siły zdaje się blokować konta. Jak już powiedziałeś, ma to swoje wady, na przykład, jeśli twoja aplikacja jest podatna na wyliczanie kont, wtedy atakujący może łatwo wykonać atak typu "odmowa usługi".

Answer 3

To nie jest niemoralne per se. To jest zła użyteczność.

Rozważmy wpływ na bezpieczeństwo: użytkownicy rozważy zalogowaniu się być czasochłonne i będzie:

• być mniej prawdopodobne, aby korzystać z systemu na wszystkich
• nigdy wylogować się z systemu i pozostawić sesje otwarte bez nadzoru .

Należy rozważyć inne formy wykrywania i zapobiegania atakom brutalnej siły.

Answer 4

Byłbym skłonny zgodzić się ze współpracownikami. Captcha może być konieczne w formularzach, w których nie musisz być upoważniony do przesyłania danych, ponieważ w przeciwnym razie spamboty będą je bombardować, ale nie widzę jakiego rodzaju nadużycia uniemożliwiasz, dodając captcha do formularza logowania?

Captcha nie zapewnia żadnej formy zabezpieczenia, tak jak inne opcje, takie jak czarna lista. Po prostu sprawdza, czy użytkownik jest człowiekiem i mam nadzieję, że pola nazwa użytkownika/hasło to potwierdzą.

Jeśli chcesz zapobiec atakom bruteforce, to prawie każda inna forma ochrony byłaby bardziej przydatna - zmniejszanie liczby żądań, jeśli jest ich zbyt dużo, lub blokowanie adresów IP, jeśli na przykład wprowadzono błędne hasła zbyt wiele razy.

Sądzę też, że nie doceniasz wpływu na użyteczność. Wiele przeglądarek udostępnia wiele narzędzi do obsługi nazw użytkowników i formularzy haseł, a wszystkie te narzędzia są bezużyteczne, jeśli dodasz captcha.

Answer 5

Wiele popularnych (najczęściej używanych) serwerów pocztowych go nie ma ?!

Answer 6

Chciałbym odnieść się do pytania w tytule - kwestii moralności.

uważam captcha niemoralnego w następujących okolicznościach:

1. wyklucza to udziału w zastosowaniu do tych z fizycznych lub psychicznych wyzwań, gdy główna część i cel zastosowania w przeciwnym razie nie sprawiają takiego wykluczenie.

2. Mechanizm captcha naraża użytkowników na niepokojący język lub obrazy wykraczający poza to, co normalnie byłoby oczekiwane w aplikacji.

3. Mechanizm captcha przedstawiony użytkownikowi jest zwodniczy lub wprowadzający w błąd w pewien sposób.

CAPTCHA może również uznać niemoralne, jeśli jego intencją jest, aby wykluczyć autentycznie czujące inteligencji maszyn z udziału ze względu na uprzedzenia wobec nieludzi. Oczywiście technologia nie rozwinęła się jeszcze do poziomu, na którym jest to problemem, a ponadto, kiedy staje się problemem, oczekuję, że bramy wykluczające człowieka będą bardziej realne i powszechne.