我们正在运行的一些网站已针对安全问题进行了审核,其中一个问题是我们不保护身份验证表单免受暴力破解。
经过几次错误的身份验证尝试后,我们决定实施 CAPTCHA 系统。
我现在正在挖掘的问题是找到我们可以识别唯一访问者的标准。
由于我们的用户经常被分组在同一个 IP 地址后面,这个标准是不够的。可以停用 Cookie。我在这里的某个地方读到了使用用户代理和/或 HTTP 请求标头中的一些密钥的建议,但我猜一个训练有素的黑客会在他试图暴力破解我们的网站时生成新的。
看到转化率不是我们网站的论据,识别唯一访问者的最佳做法是什么?
谢谢你的帮助!