使用php登录脚本并希望避免使用Captcha,并挑战问题。我正在考虑实现ID#,ID和密码登录提示。
所有用户都已经分配了一个州许可证编号,我正在考虑将这些编号用于双因素身份验证。如果他们输入的许可证号和登录ID不匹配,他们就会得到假盐,并自动无法通过密码检查。
所有对ID和密码的强力尝试都会失败,但机器人不会知道原因。在获得真正的盐和攻击密码的机会之前,机器人必须将真实ID#与真实ID匹配。我看到的唯一漏洞是,如果他们知道其中一个用户,并发现了他们的许可证号。但是,如果他们不知道身份证,他们仍然没有机会。在尝试使用真实ID和ID#以及错误密码登录失败后,该帐户将锁定,或者我会在此过程中添加延迟。
这个想法值得追求,我建议的对策怎么样?想法?