我正在构建一个Web应用程序,我被困在登录模块中。我正准备使用机器的IP地址实现锁定功能,但是对于动态IP路由器可以重新启动,所以我想存储在网络上检索不可行的MAC地址。然后我试图了解GMAIL和Twitter上的功能
我检查的案例
我想锁定用户连续尝试登录超过20次的系统,如果用户尝试从其他系统登录,则该用户必须能够登录。
现在我在twitter上尝试了这种功能,以确定它们是如何实现的。
当我尝试从我的mozilla浏览器登录我的Twitter帐户大约18-20次时,我被锁定了60分钟。现在我尝试检查此锁定是依赖于浏览器还是依赖于服务器。所以我试图从IE登录,并在第一次尝试时,我被锁定了。
然后我尝试从另一个系统登录,即另一个(IP地址)然后我可以访问我的帐户。从此我得出结论,它可能正在检查IP地址。
然后我终于回到我的电脑,尝试从Tweet Deck登录,即第三方软件,然后我获得了访问权限,然后我再次尝试从浏览器登录,然后它仍然显示我已锁定60分钟。
是TWTET DECK作为代理吗?
在场景之后会发生什么,是的 它检查MAC地址,IP地址或 什么 ?是它在数据库上存储信息
答案 0 :(得分:1)
根据问题中提供的描述,Twitter似乎将其锁定逻辑绑定到:
我怀疑是否有人使用MAC地址,因为这是相对困难/不可能达到的,并且提供的优势相对于IP地址“识别”相对较少(无论是IP还是MAC都可以欺骗......)
Twitter使用IP地址的原因,可能是为了阻止黑客入侵,同时不会对所有合法用户造成不便。它的目的是防止拒绝服务,允许某人阻止Twitter的合法用户使用该服务,只是多次未能在此帐户下登录(即目标是禁止帐户不要猜测其密码)。
然而,这种方法的问题在于它给“坏人”更多的机会最终进入;为了减轻这种风险,登录逻辑还可以包括对于给定帐户当前锁定了多少个不同IP地址的计数,允许它在该计数达到阈值时完全禁用该帐户:“人,五个不同的IP地址多次试图访问此帐户...让我们将其锁定,并通过电子邮件发送给所有者!“。您应该为Web应用程序实现的登录逻辑类型在很大程度上取决于站点的性质,用户数量等。
模仿Google和Twitter等一级网站正在做的事情没有错,但您的个人情况可能会提供其他机会或要求。
例如,每秒登录次数要少得多,您可以实现一组更高级的规则(比如说当前IP与以前/最近用于帐户的IP地址匹配的规则,在这些情况下更容忍)。另一个例子:如果您的客户正在为该服务付费和/或如果他们的隐私被视为溢价,则可能最好谨慎行事,即[有时]锁定合法用户而不是[可能]黑客的攻击。</ p>
答案 1 :(得分:0)
虽然这是打入帐户的一种可能方案。还有其他有利可图的路由,包括从常用密码列表开始,并尝试查找具有这些密码的用户,其优势在于攻击分散在用户之间。
大多数登录系统都使用功能组合,其中大多数功能当然是滥用者所知。一些技术包括通过用户名,密码使用失败的登录尝试,即使针对不同的用户,cookie的年龄,cookie的多样性,IP地址以及是否正在使用SOCKS或其他代理的一些检测。有些甚至尝试使用某种形式的用户或设备指纹识别来提高滥用者的标准。检测之后是使用CAPTCHA或临时锁定来减慢尝试。
当然,锁定IP可能是一个非常糟糕的主意,因为NAT设备后面的单个滥用者可能会导致NAT后面的所有其他用户拒绝服务。此外,我相信中东的一些国家甚至代理SSL流量,因此阻止IP可能会阻止所有用户 - 这可能不是您的担忧。
谷歌和其他网站也处理在地理上分布的服务器上并行进行的攻击。</ p>