Aiuto e guideSicurezza account › Rilevamento brute force e auto-blocco

Rilevamento brute force e auto-blocco

3 min di lettura · Sicurezza account

Un attaccante può provare molte password in un minuto. Per questo ePulz.io combina due protezioni: un limite ai tentativi di accesso, che rifiuta temporaneamente i tentativi successivi, e un avviso per l'amministratore, quando da un singolo indirizzo IP arriva un numero sospettosamente alto di tentativi falliti. Entrambe le protezioni sono attivate automaticamente per ogni account, non devi configurare nulla.

Limite ai tentativi di accesso

Il modulo di accesso è protetto da due limiti indipendenti. Una volta superati, il server restituisce una risposta HTTP 429 e rifiuta temporaneamente i tentativi successivi:

  • Per indirizzo IP: al massimo 20 tentativi di accesso ogni 15 minuti da un singolo IP. Una volta superato, i tentativi successivi da questo indirizzo vengono temporaneamente rifiutati.
  • Per account (e-mail): al massimo 10 tentativi ogni 30 minuti per la stessa e-mail, anche quando l'attacco proviene da più indirizzi IP. Questo limite previene un attacco distribuito contro un account specifico.

Dopo un accesso riuscito, il contatore per quell'e-mail viene azzerato.

Avviso per l'amministratore

Indipendentemente dai limiti: se da un singolo indirizzo IP arrivano 10 o più tentativi falliti entro 15 minuti, l'amministratore riceve un avviso tramite Telegram (ripetuto al massimo una volta all'ora per lo stesso IP). Serve a rilevare tempestivamente un attacco mirato.

Cosa vede l'utente al superamento del limite

Una volta superato il limite, compare un avviso che indica che ci sono stati troppi tentativi e che bisogna attendere un certo numero di minuti. Il link "Password dimenticata" resta disponibile, così un utente legittimo ha sempre una via di ritorno al proprio account - il recupero della password via e-mail funziona anche durante la restrizione temporanea.

Riepilogo accessi (login audit)

Un riepilogo dettagliato dei tentativi di accesso è disponibile solo per l'amministratore nel pannello di amministrazione (Admin -> Accessi, /admin/login-audit). Mostra al massimo i 500 tentativi più recenti, sia riusciti che falliti. Per ogni record vedi:

  • l'ora, l'e-mail, l'indirizzo IP con la bandiera del paese e le informazioni sul browser,
  • lo stato (OK / FAIL) e il motivo: ok, password errata (invalid_credentials), limite superato (rate_limited, rate_limited_email), e-mail non verificata (unverified),
  • una sezione separata con i principali indirizzi IP da cui arrivano più tentativi falliti.

Cliccando su un IP nell'elenco filtri tutti i tentativi provenienti dallo stesso indirizzo.

Cosa puoi fare per la sicurezza dell'account

La protezione funziona automaticamente, non devi configurarla né reagire ad essa. Per maggiore tranquillità consigliamo di attivare l'autenticazione a due fattori (2FA) e di controllare di tanto in tanto i dispositivi attendibili nella sezione Impostazioni -> Account.

Se ti sei bloccato per errore

  • La cosa più semplice è attendere il tempo indicato - la restrizione si rimuove da sola allo scadere della finestra.
  • Se ti serve l'accesso immediato, usa Password dimenticata. Il recupero della password via e-mail funziona anche durante la restrizione temporanea.
  • In caso di problema persistente contattaci tramite il supporto - dopo aver verificato l'identità ti aiuteremo.
Questa guida è stata utile?
Successivo →
GeoIP - paesi login e visitatori