Довідка та інструкціїБезпека акаунта › Brute force детекція та auto-block

Brute force детекція та auto-block

3 хв читання · Безпека акаунта

Зловмисник може за хвилину перебрати безліч паролів. Тому ePulz.io поєднує два захисти: ліміт кількості спроб входу, який тимчасово відхиляє подальші спроби, і сповіщення для адміністратора, коли з однієї IP-адреси надходить підозріло багато невдалих спроб. Обидва захисти увімкнені автоматично для кожного облікового запису, нічого налаштовувати не потрібно.

Ліміт кількості спроб входу

Форма входу захищена двома незалежними лімітами. Після їх перевищення сервер повертає відповідь HTTP 429 і тимчасово відхиляє подальші спроби:

  • За IP-адресою: щонайбільше 20 спроб входу за 15 хвилин з однієї IP. Після перевищення подальші спроби з цієї адреси тимчасово відхиляються.
  • За обліковим записом (e-mail): щонайбільше 10 спроб за 30 хвилин на той самий e-mail, навіть якщо атака надходить з кількох IP-адрес. Цей ліміт захищає від розподіленої атаки на один конкретний обліковий запис.

Після успішного входу лічильник для цього e-mail обнуляється.

Сповіщення для адміністратора

Незалежно від лімітів діє правило: якщо з однієї IP-адреси надходить 10 і більше невдалих спроб за 15 хвилин, адміністратор отримує сповіщення через Telegram (з повтором не частіше одного разу на годину на ту саму IP). Це служить для вчасного виявлення цілеспрямованої атаки.

Що бачить користувач при перевищенні ліміту

Після перевищення ліміту з'являється сповіщення про те, що спроб було забагато і потрібно зачекати вказану кількість хвилин. Посилання "Забули пароль" залишається доступним, тож у легітимного користувача завжди є шлях назад до свого облікового запису - відновлення пароля через e-mail працює навіть під час тимчасового обмеження.

Огляд входів (login audit)

Детальний огляд спроб входу доступний лише адміністратору в адмін-панелі (Адмін -> Входи, /admin/login-audit). Він показує щонайбільше 500 останніх спроб, як успішних, так і невдалих. У кожному записі ви бачите:

  • час, e-mail, IP-адресу з прапором країни та інформацію про браузер,
  • стан (OK / FAIL) і причину: ok, неправильний пароль (invalid_credentials), перевищено ліміт (rate_limited, rate_limited_email), неперевірений e-mail (unverified),
  • окремий розділ з топ IP-адрес, з яких надходить найбільше невдалих спроб.

Натиснувши на IP у списку, ви відфільтруєте всі спроби з тієї самої адреси.

Що можна зробити для безпеки облікового запису

Захист працює автоматично, його не потрібно налаштовувати і на нього не потрібно реагувати. Для більшої впевненості рекомендуємо увімкнути двофакторну автентифікацію (2FA) і час від часу перевіряти довірені пристрої в розділі Налаштування -> Обліковий запис.

Якщо ви заблокували себе помилково

  • Найпростіше зачекати вказаний час - обмеження знімається саме після завершення вікна.
  • Якщо доступ потрібен негайно, скористайтеся Забули пароль. Відновлення пароля через e-mail працює навіть під час тимчасового обмеження.
  • За постійної проблеми зв'яжіться з нами через підтримку - після перевірки особи ми допоможемо.
Чи був цей посібник корисним?
Далі →
GeoIP - країни входів та відвідувачів