我们运行的某些网站已经过安全问题审核,其中一个问题是我们无法保护身份验证表格免受暴力破坏。
我们决定在几次错误的auth尝试后实施CAPTCHA系统。
我现在正在挖掘的问题是找出我们可以识别独特访客的标准。
由于我们的用户通常分组在同一IP地址后面,因此此标准是不够的。 Cookie可以被停用。我在这里阅读了一个建议,使用用户代理和/或HTTP请求标题中的一些键,但我猜一个受过训练的黑客会在他试图暴力破坏我们的网站时产生新的。
鉴于转化率不是我们网站的参数,识别唯一身份访问者的最佳实践是什么?
感谢您的帮助!