Ajuda e guiasSegurança da conta › Detecção brute force e auto-block

Detecção brute force e auto-block

3 min de leitura · Segurança da conta

Um atacante consegue testar muitas senhas num minuto. Por isso o ePulz.io combina duas proteções: um limite de tentativas de início de sessão, que rejeita temporariamente as tentativas seguintes, e um alerta para o administrador, quando de um único endereço IP chega um número suspeitosamente alto de tentativas falhadas. Ambas as proteções estão ativadas automaticamente para cada conta, não precisa de configurar nada.

Limite de tentativas de início de sessão

O formulário de início de sessão está protegido por dois limites independentes. Após serem excedidos, o servidor devolve uma resposta HTTP 429 e rejeita temporariamente as tentativas seguintes:

  • Por endereço IP: no máximo 20 tentativas de início de sessão por 15 minutos a partir de um único IP. Após exceder, as tentativas seguintes a partir deste endereço são temporariamente rejeitadas.
  • Por conta (e-mail): no máximo 10 tentativas por 30 minutos para o mesmo e-mail, mesmo quando o ataque vem de vários endereços IP. Este limite evita um ataque distribuído a uma conta específica.

Após um início de sessão bem-sucedido, o contador desse e-mail é reposto a zero.

Alerta para o administrador

Independentemente dos limites: se de um único endereço IP chegarem 10 ou mais tentativas falhadas em 15 minutos, o administrador recebe um alerta via Telegram (repetido no máximo uma vez por hora para o mesmo IP). Serve para detetar atempadamente um ataque direcionado.

O que o utilizador vê ao exceder o limite

Após exceder o limite, aparece um aviso de que houve demasiadas tentativas e que é preciso esperar um determinado número de minutos. A ligação "Senha esquecida" permanece disponível, por isso um utilizador legítimo tem sempre um caminho de volta à sua conta - a recuperação de senha por e-mail funciona mesmo durante a restrição temporária.

Resumo de inícios de sessão (login audit)

Um resumo detalhado das tentativas de início de sessão está disponível apenas para o administrador no painel de administração (Admin -> Inícios de sessão, /admin/login-audit). Mostra no máximo as 500 tentativas mais recentes, tanto bem-sucedidas como falhadas. Em cada registo vê:

  • a hora, o e-mail, o endereço IP com a bandeira do país e informação sobre o navegador,
  • o estado (OK / FAIL) e o motivo: ok, senha errada (invalid_credentials), limite excedido (rate_limited, rate_limited_email), e-mail não verificado (unverified),
  • uma secção separada com os principais endereços IP de onde chegam mais tentativas falhadas.

Ao clicar num IP na lista, filtra todas as tentativas do mesmo endereço.

O que pode fazer pela segurança da conta

A proteção funciona automaticamente, não precisa de a configurar nem de reagir a ela. Para maior tranquilidade, recomendamos ativar a autenticação de dois fatores (2FA) e verificar de vez em quando os dispositivos de confiança na secção Definições -> Conta.

Se se bloqueou por engano

  • O mais simples é esperar o tempo indicado - a restrição levanta-se sozinha após passar a janela.
  • Se precisar de acesso imediato, use Senha esquecida. A recuperação de senha por e-mail funciona mesmo durante a restrição temporária.
  • Em caso de problema persistente, contacte-nos através do suporte - após verificar a identidade, ajudamos.
Este guia foi útil?
Próximo →
GeoIP - países logins e visitas