嗨,堆栈交换,
我们在错误配置的系统环境中看到许多问题,反复尝试旧密码并导致帐户被锁定。
我认为锁定多次尝试相同密码的帐户没有任何价值,这不会让(潜在的)攻击者更接近猜测密码吗?我想知道是否有一种方法可以安全地配置系统来计算每个用户尝试不同/唯一密码的次数,而不仅仅是锁定发生之前的尝试次数?
我可以意识到使用可逆衍生物记录密码尝试可能不利于安全性,但肯定有一种方法可以区分是否多次尝试相同的密码?以长哈希或其他方式记录最近的尝试?
至少,系统是否有可能知道上一个密码已经被尝试过,或者甚至有几个密码被尝试过,并且不将这些视为失败的尝试?我已经看到了这个实现,它似乎类似于判断唯一性/区别的需要?
如果锁定策略的唯一目的是防止在线暴力破解密码猜测,而不是作为 DoS 帐户的工具,为什么仅在不同的密码尝试后增加失败的登录计数器并不常见?
抱歉,有很多问号,但为了清楚起见,主要问题再次出现;
我想知道是否有一种方法可以安全地配置系统来计算每个用户尝试不同/唯一密码的次数,而不仅仅是锁定发生之前的尝试次数?
感谢您的任何想法!
亲切的问候, Xeotech