Ochrona przed atakami typu „brute force” – blokowanie nadmiernych prób logowania

W celu zwiększenia bezpieczeństwa systemu dostępowego wprowadziliśmy mechanizm ograniczający nadmierną liczbę nieudanych prób logowania. Pozwala on skutecznie zapobiegać atakom typu brute force, które polegają na automatycznym „zgadywaniu” hasła przez wielokrotne próby logowania.

Mechanizm można włączyć lub wyłączyć w konfiguracji systemu. Gdy jest aktywny, system kontroluje liczbę nieudanych prób logowania z danego adresu IP w określonym przedziale czasu.

Działanie jest następujące:

• Administrator definiuje, ile minut (np. X = 10) trwa okres kontrolny.
• Administrator ustala, ile nieudanych prób (np. Y = 10) jest dopuszczalnych w tym okresie.
• Dopóki liczba nieudanych prób logowania w ciągu ostatnich X minut nie przekroczy wartości Y, użytkownik może ponawiać próby logowania.
• Po przekroczeniu limitu (np. 6 prób w ciągu 10 minut), kolejne próby będą tymczasowo blokowane — aż liczba nieudanych prób mieszczących się w danym oknie czasowym spadnie poniżej ustalonego progu.

Mechanizm ten nie wpływa na prawidłowe logowania ani nie blokuje całkowicie konta użytkownika — działa jedynie jako czasowe ograniczenie tempa prób.

Konfiguracja znajduje się w menu: Administracja > Konfiguracja > Web > Security

Dostępne parametry to:

• Włączenie lub wyłączenie mechanizmu
• Długość okna czasowego (w minutach) – domyślnie 10 minut
• Maksymalna liczba nieudanych prób w tym czasie – domyślnie 10 prób

Dzięki temu mechanizmowi znacznie zwiększamy odporność systemu na zautomatyzowane ataki i podnosimy poziom ochrony danych pacjentów bez utrudniania dostępu użytkownikom, którzy przez pomyłkę kilka razy wpiszą błędne dane.