Hạn chế số lần đăng nhập khi nhập mật khẩu sai. Ví dụ sau 3 lần nhập pass sai thì khoá
account trong 10 phút. Hacker có thể dùng cách này để khoá tài khoản người dùng,
nên cẩn thận. Có thể kết hợp thêm capcha.Lưu ý: Những cách cách này có thể gây khó chịu cho người dùng, nếu dữ liệu không quá quan
trọng (game, web hỏi đáp, giao lưu, giải trí ...) thì có thể nới lỏng một số yếu tố.
Facebo o k tạm kho á tài khoản khi hacker cố tình đăng nhập nh iều lầnNhững biện pháp nho nhỏ tăng cường bảo mật
Một số điểm cần lưu ý khác:
Với các thao tác quan trọng như đổi email, đổi pass, xoá nick, cần bắt người dùng nhập
lại password. Lý do là đôi khi người dùng bị chôm cookie, hoặc lơ là quên khoá
máy. Hãy nhìn Facebook và Google, cả 2 trang này đều bắt ta phải nhập lại mật
khẩu khi muốn đổi pass.
Với các ứng dụng cần bảo mật cao, phải có Two-factor verification (Gửi tin nhắn,
device tạo authentication token). Mình hiện tại cũng đang dùng nó, dù các bạn có biết
mật khẩu Gmail hay WordPress của mình cũng “éo” thể nào đăng nhập được.
Nên khuyến khích (hoặc bắt buôc) người dùng sử dụng mật khẩu dài, đi kèm chữ và
số, viết hoa viết thường và kí tự đặc biệt. Máy móc rất hiện đại khi crack mật khẩu, có
thể vào đây để test xem máy mất bao lâu để mò ra mật khẩu của bạn.
Nếu site của bạn không có HTTPS, hoặc team không có kinh nghiệm làm bảo mật, cứ
để cho bọn khác lo. Bạn có thể dùng OAuth, cho phép người dùng đăng nhập từ
Google, Facebook.
Lúc này Google, Facebook sẽ chịu trách nhiệm quản lý mật khẩu và dữ liệu của người
dùng. Người dùng thì không cần phải đăng kí nhiều tài khoản, một công đôi việc. Tìm
hiểu thêm tại https://oauth.io/ hoặc https://auth0.com/.