Nápověda a návodyZabezpečení účtu › Brute force detekce a auto-blokace

Brute force detekce a auto-blokace

3 min čtení · Zabezpečení účtu

Útočník dokáže za minutu vyzkoušet spoustu hesel. ePulz.io proto kombinuje dvě ochrany: limit počtu pokusů o přihlášení, který další pokusy dočasně odmítne, a upozornění pro administrátora, když z jedné IP adresy chodí podezřele mnoho nesprávných pokusů. Obě ochrany jsou zapnuté automaticky pro každý účet, nemusíte nic nastavovat.

Limit počtu pokusů o přihlášení

Přihlašovací formulář je chráněn dvěma nezávislými limity. Po jejich překročení server vrátí odpověď HTTP 429 a další pokusy dočasně odmítne:

  • Podle IP adresy: nejvýše 20 pokusů o přihlášení za 15 minut z jedné IP. Po překročení se z této adresy další pokusy dočasně odmítnou.
  • Podle účtu (e-mailu): nejvýše 10 pokusů za 30 minut na ten samý e-mail, a to i když útok přichází z více IP adres. Tento limit brání distribuovanému útoku na jeden konkrétní účet.

Po úspěšném přihlášení se počítadlo pro daný e-mail vynuluje.

Upozornění pro administrátora

Nezávisle na limitech platí: pokud z jedné IP adresy přijde 10 a více nesprávných pokusů za 15 minut, administrátor dostane upozornění přes Telegram (s opakováním nejvýše jednou za hodinu na tu samou IP). Slouží to k včasnému zachycení cíleného útoku.

Co vidí uživatel při překročení limitu

Po překročení limitu se zobrazí upozornění, že bylo příliš mnoho pokusů a je třeba počkat určený počet minut. Odkaz "Zapomenuté heslo" zůstává dostupný, takže legitimní uživatel má vždy cestu zpět ke svému účtu - obnova hesla přes e-mail funguje i během dočasného omezení.

Přehled přihlášení (login audit)

Detailní přehled pokusů o přihlášení má k dispozici jen administrátor v admin panelu (Admin -> Přihlášení, /admin/login-audit). Zobrazí nejvýše 500 nejnovějších pokusů, úspěšných i neúspěšných. U každého záznamu vidíte:

  • čas, e-mail, IP adresu s vlajkou země a informaci o prohlížeči,
  • stav (OK / FAIL) a důvod: ok, špatné heslo (invalid_credentials), překročený limit (rate_limited, rate_limited_email), neověřený e-mail (unverified),
  • samostatnou sekci s top IP adresami, z nichž přichází nejvíce neúspěšných pokusů.

Kliknutím na IP v seznamu odfiltrujete všechny pokusy z té samé adresy.

Co můžete udělat pro bezpečnost účtu

Ochrana běží automaticky, nemusíte ji nastavovat ani na ni reagovat. Pro vyšší jistotu doporučujeme zapnout dvoufaktorové ověření (2FA) a čas od času zkontrolovat důvěryhodná zařízení v sekci Nastavení -> Účet.

Pokud jste se zablokovali omylem

  • Nejjednodušší je počkat uvedený čas - omezení se uvolní samo po uplynutí okna.
  • Pokud potřebujete přístup okamžitě, použijte Zapomenuté heslo. Obnova hesla přes e-mail funguje i během dočasného omezení.
  • Při trvalém problému nás kontaktujte přes podporu - po ověření identity pomůžeme.
Byl tento návod užitečný?
Další →
GeoIP - země přihlášení a návštěvníků