我正在开发一个 cakephp 2.x。我正在使用身份验证组件..我想问一下是否可以在身份验证组件中跟踪用户失败的登录尝试,而且我在谷歌上搜索过,我找到了这个组件
http://bakery.cakephp.org/articles/aep_/2006/11/04/brute-force-protection
我应该在我的 cakephp 2.3 中使用它吗?该组件是否与 2.3 兼容?我想防止我的应用程序受到暴力攻击。那么这个组件对我来说是完美的吗?或者是否还有其他好的组件或更好的方法来处理蛮力?
不,这是 IMO 的一个坏方法。
首先使用河豚或某种带有“慢速加密”的散列。这是最重要的基础因素。
然后不要使用会话、IP 或其他容易欺骗的数据来保护您的登录,而是使用用户想要登录的实际用户记录。这样,攻击者就无法通过更改其 IP 或其他识别特征来影响登录尝试的数量。它还可以更好地防止僵尸网络攻击(一次使用多台计算机)。
因此,如果他尝试以“carl”身份登录,则计算对该特定帐户的登录次数,如果在特定时间内发出过多请求(暂时禁用此帐户的登录),则会出现黑洞。当然,他仍然可以通过这种方式遍历所有用户,但他永远无法真正暴力破解用户。但是,在特定时间段后,您应该再次为此用户“启用登录”。