Para evitar que un hacker intente adivinar el usuario y password, lo que suelen hacer es generar scrpits para combinar muchas combinaciones de usuario y contraseñas, algunas de las sugerencias que se recomienda es limitar el número de intentos incorrectos, para que por ejemplo después de 5 intentos incorrectos se envíe un email al usuario indicando que debido a tantos intentos incorrectos ahora debe teclear un código.
El código sería de la siguiente manera
Se revisa si existe un código de bloqueo
Si existe se regresa el error de que la cuenta esta bloqueada
No existe código de bloqueo, se revisa que el usuario/password sea correcto
Si es incorrecto se revisa que el número de intentos sea menor a 5
Si es menor a 5 se regresa un error 400 indicando que el usuario/password es incorrecto
Si no se envía el código de bloqueo al correo del usuario y se regresa un error 423 indicado que el usuario ha sido bloqueado. El código será un número aleatorio de 6 cifras.
Si no es incorrecto se guarda en 0 el número de intentos incorrectos y el código
Agregamos una carpeta Templates aquí vamos a guardar código html para enviar los correos de cuenta bloqueada.
Agregamos un archivo IntentosIncorrectos.html y agregamos entre llaves {{}} los datos a remplazar, en esta caso vamos a reemplazar el campo usuario y el campo codigo
IntentosIncorrectos.html
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title>Intentos Incorrectos</title>
<style>
.codigo {
font-weight: bold;
font-size: 1.5rem;
text-align: center;
}
</style>
</head>
<body>
<p>
¡Hola {{usuario}}!. Se detectaron varios intentos de acceso
incorrectos a tu cuenta. Para poder entrar a tu cuenta teclea
el siguiente código de verificación:
</p>
<span class="codigo">{{codigo}}</span>
<p>
Si no has solicitado este código, puede que alguien esté
intentado acceder a tu cuenta. No reenvíes este correo
electrónico ni des el código a nadie.
Si deseas mas información por favor comunícate al servicio
de soporte.
</p>
</body>
</html>
Agregamos una nueva clase para enviar correos llamada Correo en nuestra carpeta Core
Correo.cs
publicclassCorreo{ /// <summary> /// Mensaje del correo /// </summary>publicstring Mensaje; /// <summary> /// Correos a quien se enviara el correo /// </summary>publicstring Para; /// <summary> /// Asunto del correo /// </summary>publicstring Asunto; /// <summary> /// Permite enviar un correo /// </summary>publicvoidEnviar() {string smtpAddress, usuarioCorreo, passwordCorreo;int puerto =587; smtpAddress ="smtp.gmail.com"; usuarioCorreo ="corrego@gmail.com"; passwordCorreo ="tupassword";SmtpClient client =newSmtpClient(smtpAddress, puerto) { Credentials =newNetworkCredential(usuarioCorreo, passwordCorreo), EnableSsl =true, };MailMessage mailMessage =newMailMessage { From =newMailAddress(usuarioCorreo) };mailMessage.To.Add(Para);mailMessage.IsBodyHtml=true;mailMessage.Body= Mensaje;mailMessage.Subject= Asunto;try {client.Send(mailMessage); }catch (Exception ex) {Console.WriteLine(ex.InnerException); }}
En nuestra clase UsuarioDAO agregamos el método para enviar el correo de cuenta bloqueada
UsuarioDAO.cs
publicclassUsuarioDAO{privatevoidEnviaCorreoIntentosIncorrectos(string path,string usuario,string email,int codigo) {string body =System.IO.File.ReadAllText(Path.Combine(path,"Templates","IntentosIncorrectos.html")); body =body.Replace("{{usuario}}", usuario); body =body.Replace("{{codigo}}",codigo.ToString());Correo mail =newCorreo() { Para = email, Mensaje = body, Asunto ="Tu cuenta ha sido bloqueada" };try {mail.Enviar(); }catch (Exception ex) {Console.WriteLine(ex.InnerException); }}
Cambios nuestro archivo LoginDTO para agregar el campo código, el cual utilizará el usuario para desbloquear su cuenta
Revisamos que el usuario no tenga previamente generado un código
Si tiene un código
Revisamos que se haya enviado el código en el login y que el password enviado coincida con el password del usuario
Si coincide
Borramos el código y el número de intentos incorrectos lo regresamos a 0.
UsuarioDAO.cs
publicclassUsuarioDAO{publicasyncTask<TokenDTO> LoginAsync(LoginDTO loginDTO,IConfiguration config) {Seguridad seguridad =newSeguridad(); var usuario =awaitcontexto.Usuario .FirstOrDefaultAsync(usu =>usu.Clave==loginDTO.Usuario);if (usuario ==null) { customError =newCustomError(400,String.Format(this.localizacion .GetLocalizedHtmlString("GeneralNoExiste"),"La clave del usuario"));return tokenDTO; } //Si el usuario tiene un código mayor a 0, el usuario // ha sido bloqueadoif (usuario.Codigo>0 ) {if (usuario.Password== seguridad .GetHash(usuario.Adicional1+loginDTO.Password)&&usuario.Codigo==loginDTO.Codigo) { //Reiniciamos el número de intentos y el código // para iniciar sesiónusuario.Intentos=0;usuario.Codigo=0;contexto.SaveChanges(); }else { customError =newCustomError(423,this.localizacion .GetLocalizedHtmlString("PasswordLocked")); } }if (usuario.Password!=seguridad.GetHash (usuario.Adicional1+loginDTO.Password)) {usuario.Intentos=usuario.Intentos+1;if (usuario.Intentos>5) {Random r =newRandom();int codigo =r.Next(0,999999);usuario.Codigo= codigo; customError =newCustomError(423,this.localizacion.GetLocalizedHtmlString("PasswordLocked"));EnviaCorreoIntentosIncorrectos(_path,usuario.Clave,usuario.Email, codigo); }else { customError =newCustomError(400,this.localizacion .GetLocalizedHtmlString("PasswordIncorrecto")); }contexto.SaveChanges();return tokenDTO; }if (!usuario.Activo) { customError =newCustomError(403,this.localizacion .GetLocalizedHtmlString("UsuarioInactivo"));return tokenDTO; } tokenDTO =GenerarToken(config,usuario.Id,usuario.Nombre);var usuarioAcceso =newUsuarioAcceso();usuarioAcceso.UsuarioId=usuario.Id; usuarioAcceso.Fecha=DateTime.Now;usuarioAcceso.Token=tokenDTO.Token;usuarioAcceso.Activo=true;usuarioAcceso.Ciudad="Default";usuarioAcceso.Estado="Default";usuarioAcceso.SistemaOperativo="Default";usuarioAcceso.RefreshToken=tokenDTO.RefreshToken;usuarioAcceso.Navegador="Default";contexto.UsuarioAcceso.Add(usuarioAcceso);contexto.SaveChanges();return tokenDTO; }}
De esta manera si el usuario teclea 6 veces mal el password se envía un correo con el código al usuario, el cual debe enviarlo en el login para desbloquear su usuario.
El código para el login del usuario ha quedado muy largo y es difícil de probar ya que se realizan demasiadas cosas, vamos a separarlo en funciones que solo realicen una única cosa.
Primero en nuestra clase UsuarioDAO vamos a crear una función que nos regrese los datos de un usuario si le pasamos como parámetro la clave del usuario.
Agregamos otra función para saber si el usuario esta bloqueado o no. Un usuario esta bloqueado si el código es mayor a cero, de esta forma es un poco mas claro saber la regla del usuario bloqueado sin tener que leer comentarios
