我正在研究身份验证并添加暴力保护。我不知道我应该如何继续。
我应该在对某个 IP 地址进行 15 次失败尝试后进行平面阻止...还是应该将其与用户名绑定(bind)?是否应该同时存在验证码阈值和绝对截止值?
我还应该遵循其他模式吗?
最佳答案
如果有人真的尝试暴力破解,他可能有一系列 IP 可供使用。您可以做的是在每次尝试后增加延迟,并使其特定于用户名。验证码可以被击败(不同程度),因此设置一个验证码阈值,一个“放慢速度”的阈值,然后将其阻止一个小时。
请注意,暴力破解这种方式非常愚蠢,因此我更担心攻击者通过注入(inject)或其他方式从数据库获取密码的副本。
关于security - 如何防止暴力攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8187643/