Справка и руководстваБезопасность аккаунта › Brute force детекция и auto-block

Brute force детекция и auto-block

3 мин чтения · Безопасность аккаунта

Злоумышленник может за минуту перебрать множество паролей. Поэтому ePulz.io сочетает две защиты: лимит количества попыток входа, который временно отклоняет дальнейшие попытки, и уведомление для администратора, когда с одного IP-адреса приходит подозрительно много неудачных попыток. Обе защиты включены автоматически для каждого аккаунта, ничего настраивать не нужно.

Лимит количества попыток входа

Форма входа защищена двумя независимыми лимитами. После их превышения сервер возвращает ответ HTTP 429 и временно отклоняет дальнейшие попытки:

  • По IP-адресу: не более 20 попыток входа за 15 минут с одного IP. После превышения дальнейшие попытки с этого адреса временно отклоняются.
  • По аккаунту (e-mail): не более 10 попыток за 30 минут на один и тот же e-mail, даже если атака идёт с нескольких IP-адресов. Этот лимит защищает от распределённой атаки на один конкретный аккаунт.

После успешного входа счётчик для данного e-mail обнуляется.

Уведомление для администратора

Независимо от лимитов действует правило: если с одного IP-адреса приходит 10 и более неудачных попыток за 15 минут, администратор получает уведомление через Telegram (с повтором не чаще одного раза в час на тот же IP). Это служит для своевременного обнаружения целенаправленной атаки.

Что видит пользователь при превышении лимита

После превышения лимита появляется уведомление о том, что попыток было слишком много и нужно подождать указанное количество минут. Ссылка "Забыли пароль" остаётся доступной, поэтому у легитимного пользователя всегда есть путь обратно к своему аккаунту - восстановление пароля по e-mail работает даже во время временного ограничения.

Обзор входов (login audit)

Подробный обзор попыток входа доступен только администратору в админ-панели (Админ -> Входы, /admin/login-audit). Он показывает не более 500 последних попыток, как успешных, так и неудачных. У каждой записи вы видите:

  • время, e-mail, IP-адрес с флагом страны и информацию о браузере,
  • статус (OK / FAIL) и причину: ok, неверный пароль (invalid_credentials), превышен лимит (rate_limited, rate_limited_email), непроверенный e-mail (unverified),
  • отдельный раздел с топ IP-адресов, с которых приходит больше всего неудачных попыток.

Нажав на IP в списке, вы отфильтруете все попытки с того же адреса.

Что можно сделать для безопасности аккаунта

Защита работает автоматически, её не нужно настраивать и на неё не нужно реагировать. Для большей уверенности рекомендуем включить двухфакторную аутентификацию (2FA) и время от времени проверять доверенные устройства в разделе Настройки -> Аккаунт.

Если вы заблокировали себя по ошибке

  • Проще всего подождать указанное время - ограничение снимается само после окончания окна.
  • Если доступ нужен немедленно, используйте Забыли пароль. Восстановление пароля по e-mail работает даже во время временного ограничения.
  • При постоянной проблеме свяжитесь с нами через поддержку - после проверки личности мы поможем.
Было ли это руководство полезным?
Следующий →
GeoIP - страны входов и посетителей