Pomoc a návodyBezpečnosť účtu › Brute force detekcia a auto-blokácia

Brute force detekcia a auto-blokácia

3 min čítania · Bezpečnosť účtu

Útočník dokáže za minútu vyskúšať veľa hesiel. ePulz.io preto kombinuje dve ochrany: limit počtu pokusov o prihlásenie, ktorý ďalšie pokusy dočasne odmietne, a upozornenie pre administrátora, keď z jednej IP adresy chodí podozrivo veľa nesprávnych pokusov. Obe ochrany sú zapnuté automaticky pre každý účet, nemusíte nič nastavovať.

Limit počtu pokusov o prihlásenie

Prihlasovací formulár je chránený dvoma nezávislými limitmi. Po ich prekročení server vráti odpoveď HTTP 429 a ďalšie pokusy dočasne odmietne:

  • Podľa IP adresy: najviac 20 pokusov o prihlásenie za 15 minút z jednej IP. Po prekročení sa z tejto adresy ďalšie pokusy dočasne odmietnu.
  • Podľa účtu (e-mailu): najviac 10 pokusov za 30 minút na ten istý e-mail, a to aj keď útok prichádza z viacerých IP adries. Tento limit bráni distribuovanému útoku na jeden konkrétny účet.

Po úspešnom prihlásení sa počítadlo pre daný e-mail vynuluje.

Upozornenie pre administrátora

Nezávisle od limitov platí: ak z jednej IP adresy príde 10 a viac nesprávnych pokusov za 15 minút, administrátor dostane upozornenie cez Telegram (s opakovaním najviac raz za hodinu na tú istú IP). Slúži to na včasné zachytenie cieleného útoku.

Čo vidí používateľ pri prekročení limitu

Po prekročení limitu sa zobrazí upozornenie, že bolo priveľa pokusov a treba počkať určený počet minút. Odkaz "Zabudnuté heslo" zostáva dostupný, takže legitímny používateľ má vždy cestu späť k svojmu účtu - obnova hesla cez e-mail funguje aj počas dočasného obmedzenia.

Prehľad prihlásení (login audit)

Detailný prehľad pokusov o prihlásenie má k dispozícii len administrátor v admin paneli (Admin -> Prihlásenia, /admin/login-audit). Zobrazí najviac 500 najnovších pokusov, úspešných aj neúspešných. Pri každom zázname vidíte:

  • čas, e-mail, IP adresu s vlajkou krajiny a informáciu o prehliadači,
  • stav (OK / FAIL) a dôvod: ok, zlé heslo (invalid_credentials), prekročený limit (rate_limited, rate_limited_email), neoverený e-mail (unverified),
  • samostatnú sekciu s top IP adresami, z ktorých prichádza najviac neúspešných pokusov.

Kliknutím na IP v zozname odfiltrujete všetky pokusy z tej istej adresy.

Čo môžete urobiť pre bezpečnosť účtu

Ochrana beží automaticky, nemusíte ju nastavovať ani na ňu reagovať. Pre vyššiu istotu odporúčame zapnúť dvojfaktorové overenie (2FA) a z času na čas skontrolovať dôveryhodné zariadenia v sekcii Nastavenia -> Účet.

Ak ste sa zablokovali omylom

  • Najjednoduchšie je počkať uvedený čas - obmedzenie sa uvoľní samo po uplynutí okna.
  • Ak potrebujete prístup okamžite, použite Zabudnuté heslo. Obnova hesla cez e-mail funguje aj počas dočasného obmedzenia.
  • Pri trvalom probléme nás kontaktujte cez podporu - po overení identity pomôžeme.
Bol tento návod užitočný?
Ďalšie →
GeoIP - krajiny prihlásení a návštevníkov