Password Lockout

• Categoría:

• Authentication

• Referencia:

• OWASP-AUTHN-008

Descripcion:

Se centra en prevenir ataques de fuerza bruta mediante la implementación de un sistema que bloquee la cuenta temporalmente después de varios intentos fallidos de inicio de sesión (generalmente más de 5 intentos). Este bloqueo es una medida de seguridad que impide que los atacantes adivinen las contraseñas de un usuario a través de intentos repetidos de inicio de sesión.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Se recomienda realizar la prueba con la herramienta Burp Suite. Con Burp Suite, se captura la petición POST del formulario de login, y se envía al repeater. Desde el repeater se realizan varios intentos de autenticación para comprobar qué medidas implementa el servidor ante varios intentos fallidos.

Implementa un bloqueo temporal de la cuenta tras varios intentos fallidos, pero que no sea un tiempo excesivo para evitar la denegación de servicios (ver prueba OWASP-AD-002). También es posible establecer un rate limiting o un captcha tras varios intentos fallidos.