Pomoc i poradnikiBezpieczeństwo konta › Detekcja brute force i auto-blokada

Detekcja brute force i auto-blokada

3 min czytania · Bezpieczeństwo konta

Atakujący potrafi w ciągu minuty wypróbować mnóstwo haseł. Dlatego ePulz.io łączy dwie ochrony: limit liczby prób logowania, który tymczasowo odrzuca kolejne próby, oraz powiadomienie dla administratora, gdy z jednego adresu IP przychodzi podejrzanie dużo nieudanych prób. Obie ochrony są włączone automatycznie dla każdego konta, nie musisz nic ustawiać.

Limit liczby prób logowania

Formularz logowania jest chroniony dwoma niezależnymi limitami. Po ich przekroczeniu serwer zwraca odpowiedź HTTP 429 i tymczasowo odrzuca kolejne próby:

  • Według adresu IP: najwyżej 20 prób logowania na 15 minut z jednego IP. Po przekroczeniu kolejne próby z tego adresu są tymczasowo odrzucane.
  • Według konta (e-maila): najwyżej 10 prób na 30 minut na ten sam e-mail, nawet gdy atak przychodzi z wielu adresów IP. Ten limit chroni przed rozproszonym atakiem na jedno konkretne konto.

Po udanym logowaniu licznik dla danego e-maila jest zerowany.

Powiadomienie dla administratora

Niezależnie od limitów obowiązuje zasada: jeśli z jednego adresu IP przyjdzie 10 lub więcej nieudanych prób w ciągu 15 minut, administrator otrzymuje powiadomienie przez Telegram (powtarzane najwyżej raz na godzinę dla tego samego IP). Służy to do wczesnego wykrycia ukierunkowanego ataku.

Co widzi użytkownik po przekroczeniu limitu

Po przekroczeniu limitu pojawia się powiadomienie, że było zbyt wiele prób i należy odczekać określoną liczbę minut. Odnośnik "Zapomniane hasło" pozostaje dostępny, więc legalny użytkownik zawsze ma drogę powrotu do swojego konta - odzyskiwanie hasła przez e-mail działa nawet podczas tymczasowego ograniczenia.

Przegląd logowań (login audit)

Szczegółowy przegląd prób logowania ma do dyspozycji tylko administrator w panelu administracyjnym (Admin -> Logowania, /admin/login-audit). Pokazuje najwyżej 500 najnowszych prób, udanych i nieudanych. Przy każdym wpisie widzisz:

  • czas, e-mail, adres IP z flagą kraju i informację o przeglądarce,
  • stan (OK / FAIL) i powód: ok, złe hasło (invalid_credentials), przekroczony limit (rate_limited, rate_limited_email), niezweryfikowany e-mail (unverified),
  • osobną sekcję z najczęstszymi adresami IP, z których przychodzi najwięcej nieudanych prób.

Kliknięcie na IP na liście odfiltrowuje wszystkie próby z tego samego adresu.

Co możesz zrobić dla bezpieczeństwa konta

Ochrona działa automatycznie, nie musisz jej ustawiać ani na nią reagować. Dla większej pewności zalecamy włączenie uwierzytelniania dwuskładnikowego (2FA) i okresowe sprawdzanie zaufanych urządzeń w sekcji Ustawienia -> Konto.

Jeśli zablokowałeś się przez pomyłkę

  • Najprościej jest odczekać podany czas - ograniczenie samo się zwalnia po upływie okna.
  • Jeśli potrzebujesz dostępu natychmiast, użyj Zapomniane hasło. Odzyskiwanie hasła przez e-mail działa nawet podczas tymczasowego ograniczenia.
  • W przypadku trwałego problemu skontaktuj się z nami przez wsparcie - po weryfikacji tożsamości pomożemy.
Czy ten poradnik był pomocny?
Następny →
GeoIP - kraje logowań i odwiedzin