我有我的登录页面,当然我想防止暴力攻击并减少用户登录时的延迟。
目前,您输入您的用户名和密码进行登录。
我正在考虑实施reCAPTCHA。但是,这会在 3 次尝试失败后在登录时显示。
我的问题是:
你的尝试是基于什么。IP地址?它总是可以隐藏...用户名?如果他们正在尝试一个不存在的用户怎么办?
计算失败登录尝试的最佳方法是什么?
我有我的登录页面,当然我想防止暴力攻击并减少用户登录时的延迟。
目前,您输入您的用户名和密码进行登录。
我正在考虑实施reCAPTCHA。但是,这会在 3 次尝试失败后在登录时显示。
我的问题是:
你的尝试是基于什么。IP地址?它总是可以隐藏...用户名?如果他们正在尝试一个不存在的用户怎么办?
计算失败登录尝试的最佳方法是什么?
会话不可靠,因为它们依赖于 cookie,CAPTCHA 经常被破坏 [包括 ReCAPTCHA]。唯一可靠的方法看似简单:问一个问题。不要使用数学问题,因为出于某种原因,计算机出奇地擅长解决这些问题。伟大的旧备用是这样的:
这是愚蠢的——容易实现,机器很难解决。
至于强制强制,请尝试在您的用户表中添加两个字段,'first_failed_login' [ INTEGER
unix timestamp or DATETIME
] 和 'failed_login_count'。[ INTEGER
]
<?php
$bad_login_limit = 3;
$lockout_time = 600;
$first_failed_login, failed_login_count; // retrieve from DB
if(
($failed_login_count >= $bad_login_limit)
&&
(time() - $first_failed_login < $lockout_time)
) {
echo "You are currently locked out.";
exit; // or return, or whatever.
} else if( /* login is invalid */ ) {
if( time() - $first_failed_login > $lockout_time ) {
// first unsuccessful login since $lockout_time on the last one expired
$first_failed_login = time(); // commit to DB
$failed_login_count = 1; // commit to db
} else {
$failed_login_count++; // commit to db.
}
exit; // or return, or whatever.
} else {
// user is not currently locked out, and the login is valid.
// do stuff
}
这将使您的登录系统每 10 分钟仅识别每个用户 3 次登录尝试。
不要依赖会话或 cookie,它们信任客户端,你永远不应该信任客户端。我在 PHP 中创建了一个负责暴力攻击保护的类。
https://github.com/ejfrancis/BruteForceBlocker
它将站点范围内的所有失败登录记录在数据库表中,如果过去 10 分钟(或您选择的任何时间范围)内的失败登录次数超过设定的限制,它会强制执行时间延迟和/或验证码要求在再次登录之前。
例子:
//build throttle settings array. (# recent failed logins => response).
$throttle_settings = [
50 => 2, //delay in seconds
150 => 4, //delay in seconds
300 => 'captcha' //captcha
];
$BFBresponse = BruteForceBlocker::getLoginStatus($throttle_settings);
//$throttle_settings is an optional parameter. if it's not included,the default settings array in BruteForceBlocker.php will be used
switch ($BFBresponse['status']){
case 'safe':
//safe to login
break;
case 'error':
//error occured. get message
$error_message = $BFBresponse['message'];
break;
case 'delay':
//time delay required before next login
$remaining_delay_in_seconds = $BFBresponse['message'];
break;
case 'captcha':
//captcha required
break;
}
尝试检查您是否正在处理真正的浏览器。也许一些带有随机函数名称或其他东西的讨厌的 java 脚本挑战可能会阻止许多简单的脚本,除非它们远程控制真正的浏览器(这并不罕见),或者在爬虫脚本中正确评估 js/css。
我建议您进一步阅读该主题,并针对 python mechanize 或其他一些知名的爬虫工具测试您的解决方案。
但可以肯定的是,没有针对自动攻击的真正解决方案。