就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the help center为指导。
8年前关闭。
最近我读了一篇关于防止暴力攻击的文章。它说自动禁用用户帐户是对抗字典攻击的一种糟糕的安全机制。首先,如果攻击者能够通过每 30 分钟错误地猜测密码 3 次来禁用帐户,他就可以有效地阻止该用户访问系统。其次,因为这种技术假设攻击者保持用户名不变并改变密码。如果攻击者保持密码不变并更改用户名怎么办?我们已经知道,很大一部分用户使用像“password”这样的常用密码。使用字典攻击的黑客可以为他的用户名列表中的每个用户尝试“密码”,这不仅有很高的成功机会,而且还可以逃避帐户锁定逻辑。攻击者可以进行数千次登录尝试,即使每一次都失败,系统也只会为每个帐户注册一次错误登录。
任何人都可以给我一些建议以使禁用帐户更安全吗?
最佳答案
一些想法:
关于login - 由于登录 3 次失败而禁用帐户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1081660/