Accountbeveiliging

[dirklammers]

Regelmatig lukt het tobbende gebruikers om zich te blokkeren door te vaak een verkeerd wachtwoord in te toetsen.
Omdat het bekende - en dus vertrouwde - gebruikers zijn worden de geblokkeerde account na 15 minuten weer vrijgegeven. Maar tot nu toe had ik ook ingesteld dat ook het IP-adres werd geblokkeerd.
Dat is wel een gedoe want als een gebruiker mailt dat hij/zij is geblokkeerd dan weet ik natuurlijk zijn/haar IP-adres niet. En als er dan meerdere geblokkeerd zijn....

Eigenlijk wil ik die IP-blokkades niet meer toepassen maar alleen de instellingen m.b.t. de account zoals in de schermafdruk weergegeven.

Is dat naar jullie idee ook veilig genoeg?

Groet, Dirk

[Babylonia]

Als een gebruiker altijd van "thuis" inlogt, en heeft die een vast IP-adres ?
Kun je een IP-adres ook op een  "Whitelist"  zetten.  Geldt die blokkade nooit voor die gebruiker op dat IP-adres.
Kan een gebruiker veel vaker proberen in te loggen dan wat je hebt ingesteld als maximum.

Logt een gebruiker in via een smartphone e.d. dan kan het IP-adres rouleren bijv. met een herstart van de smartphone.
Dus daar geldt zo'n whitelist dan niet meer voor.

M.b.t. de instellingen in je schermafdruk maak je het echter nog steeds wel moeilijk voor de reeds  "Vertrouwde"  Clients.
Dus die Clients kent de NAS al.  Daarvoor zou je de tijd beter niet op 999 minuten instellen.
Want moet de gebruiker dan alsnog zolang wachten +  15 minuten erna voordat die verder kan na 5 verkeerde inlogpogingen.

Dat laatste blokje voor  "Vertrouwde Clients".
Zou je bijv. ook op 7 of 8 aanmeldpogingen kunnen zetten,  binnen 15 minuten  en dan na 15 minuten erna alsnog opheffen.
Heeft een gebruiker meer "reserve" om binnen een redelijke termijn alsnog enkele pogingen te wagen.

Maar als die zich zo vaak vergist, zou degene ook meer discipline kunnen aanwenden
om wachtwoorden in een wachtwoord manager te zetten, en daar beter nog eens te controleren wat de juiste gegevens zijn.
"Te veel vrijheid geven"  in maar "aanmodderen" met aanmeldpogingen voordat het systeem gaat blokkeren, is ook niet goed.

....als een gebruiker mailt dat hij/zij is geblokkeerd dan weet ik natuurlijk zijn/haar IP-adres niet. En als er dan meerdere geblokkeerd zijn....

Da's makkelijk !?  Een gebruiker weet je wel te vinden als hij is geblokkeerd.
Mag die ook wel meer moeite doen om even zelf te controleren wat zijn eigen IP-adres is, en dat in zijn mail meteen meesturen.

Enkele van de vele URL's om je eigen IP-adres te controleren  (IPv4  en/of  IPv4 + IPv6).

https://www.ip-adres.nl         https://www.watismijnipadres.nl        https://www.watismijnip.nl        https://www.watzijnmijnips.nl

https://whatismyipaddress.com/nl/mijn-ip        https://www.whatismyip.com        https://www.showmyip.com/

[dirklammers]

M.b.t. de instellingen in je schermafdruk maak je het echter nog steeds wel moeilijk voor de reeds  "Vertrouwde"  Clients.

Zo interpreteer ik die instellingen niet hoor.
Volgens mij wordt je als vertrouwede client 15 minuten geblokkeerd als je binnen 999 minuten 5 keer een verkeerd password intikt.
Maar die teller gaat natuurlijk opnieuw lopen als je weer een goed password hebt ingevoerd.

Tuurlijk kan die 999 lager, maar als je na 4 keer niet je goed password weet dan zal het de 5e keer ook wel niet lukken.

Groet, Dirk

[Babylonia]

Nee hoor, ik ken echt mensen die zich makkelijk 4-5 keer kunnen vergissen.
Vergissen ze zich met een  underscore _    versus    verbindingsstreepje -
Of bij "kopiëren" van een wachtwoord een laatste  "spatie"  meenemen, en niet als karakter wordt gezien.

Gaan erna pas nadenken met "wat" ze verkeerd hebben ingetoetst.

Als het dan niet lukt, en je moet  17  uur wachten voordat je weer opnieuw een reeks inlogpogingen kunt doen, lijkt me niet handig.

Daar is nu net die "Vertrouwde Client" instelling voor bedoeld, om dat wat ruimer, met meer reserve in te stellen.
Het heeft IMO weinig zin die instellingen "gelijk te houden".

[Briolet]

gebruikers zijn worden de geblokkeerde account na 15 minuten weer vrijgegeven. Maar tot nu toe had ik ook ingesteld dat ook het IP-adres werd geblokkeerd.
Dat is wel een gedoe want als een gebruiker mailt dat hij/zij is geblokkeerd dan weet ik natuurlijk zijn/haar IP-adres niet. En als er dan meerdere geblokkeerd zijn....

Dan heb je het verkeerd ingesteld.  Het maximum aantal pogingen bij account beveiliging moet lager staan dan die van IP blokkeringen.  Je krijgt dan nooit de kans om zo vaak in te loggen dat je IP geblokkeerd wordt. Daarnaast moet je het weer vrijgave van de account beveiliging natuurlijk ook zo kiezen dat hij daarna niet alsnog de IP blokkade triggert.  Als je dus weer na 15 minuten mag inloggen, moet je deze tijd ook gebruiken bij de IP blokkade.

Op die manier blijf je profijt hebben voor inlogpogingen die geen gebruik maken van de account beveiliging.  b.v. voor de mail server, je adresboek of agenda koppeling.

Toen deze feature net nieuw was heb ik dit uitgebreid getest.

[dirklammers]

Je krijgt dan nooit de kans om zo vaak in te loggen dat je IP geblokkeerd wordt

Wat heeft dan die IP-blokkade voor zin als die nooit bereikt wordt?

Ik snap de werking en dus de instellingen gewoon niet. De help-schermen maken me ook niet veel wijzer.
Ik wil jullie niet lastig vallen om me het eens helemaal uit te leggen hoor, dus kan ik in jip-en-janneke-taal alles ergens een nalezen....

Goret, Dirk

[Babylonia]

Ander keertje als ik meer tijd heb.  Ben met voorbereidingen bezig voor een korte trip naar Frankrijk.

[dirklammers]

Goede reis !

[Briolet]

Wat heeft dan die IP-blokkade voor zin als die nooit bereikt wordt?

Volgens mij staat de reden in het 2e deel van mijn antwoord.