6

我正在研究身份验证并添加蛮力保护。我不确定我应该如何进行。

在对某个 IP 地址进行 15 次失败尝试后,我应该只做一个平面块......还是应该将它与用户名绑定?是否应该同时存在验证码阈值和绝对截止值?

我应该遵循其他模式吗?

4

1 回答 1

5

如果有人真的在尝试蛮力,他可能有一系列 IP 可以使用。您可以做的是在每次尝试后增加延迟,并使其特定于用户名。验证码可以(在不同程度上)被击败,所以设置一个验证码阈值,一个“放慢速度”的阈值,然后将其阻止一个小时。

请注意,这种方式的暴力破解非常愚蠢,所以我更担心攻击者通过注入或其他方式从数据库中获取密码副本。

于 2011-11-18T19:02:48.190 回答