로그인 횟수를 제한하는 방법에는 어떤것들이 있을까요?
본문
https://github.com/gnuboard/gnuboard5/issues/60#issue-681189003
확인이 많이 늦었으나 지금이라도 확인이 되어 로그인 횟수 제한에 대한 기능을 검토하려 하는데
좋은 의견 기다리겠습니다.
1. 원래 아이디의 회원(주인)에게는 불편함이 없어야 한다.
2. 테이블이나 필드 추가가 없거나 최소화 되어야 한다.
3. 관리자의 개입이 없어야 한다.
답변 8
보통 일반적인 권고는 5회정도 입니다.
https://skogkatt.tistory.com/217
테이블에 1개 컬럼을 추가해서 실패횟수를 카운트하고, 성공시에 0으로 초기화하는 로직이 추가되면 되고
5회 가 기록되면 잠금처리 (역시 컬럼추가)후 비밀번호초기화를 통한 카운트 초기화를 처리하는 구조가 주로 사용됩니다.
이렇게 되는 경우 원래 아이디 주인의 의도와는 상관 없이 타인에 의해 비번이 바뀌게 되는 현상이 발생할텐데 이에 대한 대비책은 없는지요?
@리자
비밀번호 초기화는 보통 두가지 방법으로 인증을 하죠
하나는.. 휴대폰인증(본인인증)후 임시비번전달
다른하나는 등록된 이메일로 임시비번전달
주인의 의도와 다르게 비번이 막히더라도 주인만 임시비번을 받을수있죠
로그인 실패 횟수를 최대 5회라고 가정을 하고 로그인 때마다 아이디, 비밀번호랑 이 실패 횟수도 같이 체크를 하게 해서 5회 미만일 경우, 로그인 성공은 실패 횟수 0으로 초기화, 실패일 경우엔 계속 +1
5회가 되었을 경우엔 해당 계정에 등록되어 있는 이메일로 링크 하나를 보냅니다. 이 링크를 클릭하면 실패 횟수를 0으로 초기화되게요.
로그인 실패 횟수가 5회일 경우엔 아이디, 비밀번호가 맞아도 로그인이 안 되고 오로지 이메일로 보낸 링크로만 풀리게 하면 어떨까요?
5회가 되었다는 건 해당 계정을 털려는 사람도 아직 비밀번호를 모른다는 거니까 비밀번호 변경은 하지 않고 저 횟수로 로그인만 안 되게 처리하는 걸로... ㅎㅎㅎ
상당히 애매한 부분이죠..
세션이나 쿠키를 사용해서 해당 횟수를 구분할 수는 있겠지만
우선 db 테이블을 추가하는것이 정석이라 보이고,
타인에 의해 본인이 로그인을 못하는 현상.. 이게 가장 핵심일거같은데..
다른 분들 답변을 봐야겠네요 ㅎㅎ
잦은 로그인 시도 실패를 해킹 시도로 파악하고 조치하는 것
위에서 나온 대로 일정횟수 연이은 실패 상황에서
1. 로그인 시도를 제한 - 5분, 10 정도 로그인 자체를 막는 방법
2. 로그인을 막고 비번 변경 email을 발송
3. 매 실패시마다 일정 시간 지나야 로그인 시도가 가능하도록, 일정 시간은 배수, 또는 기하급수로 늘리는 방법
아이콘 뜨니까, 리자 님인줄 알게네요. ㅎㅎ
설마, 리자 님이 질게에 질문했을 줄이야....
ps.
배추님이 요 솔루션 배포했는데, 연락되시면 싸바싸바 해보세요. 리자 님이면, 그냥 주실지도...ㅎ
동일 아이피 5회일때 비밀 오류이며 그 아이디에 대해서 접근 차단
차단 아이피에 대해서 에러 문구는 어떤가요?
뭐라고 표현을 못하겠네요.....ㅠㅠ
그누보드4 빌더 만들때 적용했었는데 지금은 기억이.....^^;;
동일 아이디 또는 IP로 접근후 로그인 5번 실패시 몇분간 차단 하도록 만들었던것 같습니다.
