Назад | Перейти на главную страницу

Обнаружение злоупотребления учетными данными для входа

Приветствую.

Я веб-мастер небольшой растущей промышленной ассоциации. Вскоре мне придется создать для веб-сайта ограниченный раздел только для членов.

Проблема в том, что в нашу организацию входят как крупные компании, так и любительские «клубы» (это относительно новая отрасль…).

Понятно, что эти клубы поделятся идентификатором входа, который они будут использовать для входа на наш сайт. Проблема состоит в том, чтобы определить, поделится ли один из их членов учетными данными для входа с людьми, которые обычно не должны иметь доступ к веб-сайту (нет никаких возражений для такого клуба, чтобы все его члены размещались на сайте).

Я подумал о регистрации при каждом входе в систему с IP-адресом, а также операционной системой и используемым браузером; если операционная система / браузер остается неизменной и имеется не более 10 различных IP-адресов, очевидно, что учетная запись используется очень немногими разными компьютерами.

Но если имеется 50 комбинаций ОС / браузера и 150 различных IP-адресов, учетные данные, очевидно, были распространены далеко, и тогда возникла бы причина для действий, например, для изменения пароля.

Конечно, когда ваш пароль меняется в одностороннем порядке, это очень раздражает. Итак, для решения этой проблемы я подумал о том, чтобы разрешить «клубам» управлять своим собственным списком дополнительных учетных записей, и поэтому, если подозревается злоупотребление, ответственный пользователь будет легко закреплен, и только этот «подчиненный член» будет столкнуться с раздражением при смене пароля.

Вопрос: Какие потенциальные проблемы можно было бы увидеть при таком подходе?

Вы создаете себе много полицейской работы. Я бы делегировал.

Сделайте одного человека в каждой организации ответственным за регистрацию своих членов. Дайте им для этого простые в использовании инструменты. Затем в регистрации должны быть указаны как данные участника, так и его организация. Процесс регистрации должен заставить участника принять условия использования, которые включают защиту и отказ от обмена учетными данными. Если есть жалобы или доказательства злоупотреблений, возложите ответственность за их рассмотрение на контактное лицо / регистратора соответствующей организации. Если организация не отвечает, вы имеете право закрыть доступ для все члены этой организации.

Это может быть то, что вы ищете.

http://www.ossec.net