由于IP地址不一定代表特定设备,但可能代表整个网络/公司/等。如果有大量的虚假登录尝试,那么锁定一个IP地址是否有意义呢?
我计划实施IP检查以及尝试特定的用户/帐户/电子邮件,但我不确定是否最好完全退出IP检查。
这将允许攻击者为每个用户尝试特定的密码,而不会被禁止(同时阻止这些用户锁定,因为他们的帐户将被锁定一段时间)。< / p>
防止类似事情的正确方法是什么?
(顺便说一句:我使用的是PHP / MySQL,但这并不重要,因为只需要正确的方法)
答案 0 :(得分:3)
至少在我看来,禁止知识产权与“良好做法”完全相反。在某些国家/地区,您的IP每24小时更改一次,因此如果您今天禁止使用IP,那么整个不同的人明天就会获得该禁用的IP。
您可以(并且应该)做的是在提供虚假密码后强制执行等待时间。作为示例,您可以查看AVM Fritz!Box的Web界面。
You provide a wrong password -> 2 seconds wait
You provide another wrong password -> 4(?) seconds wait
You provide another wrong password -> 6(?) seconds wait
...
(请注意,通常Fritz!Box只有一个密码字段,没有用户名/ UID。可以在较新版本中配置。对于完整的用户/密码验证,等待时间&#39;需要一旦提交了错误的登录,就会立即申请。无论用户名或密码是否错误,都可以申请。
这样一来,有人试图强行进入你的网络服务还有很长的路要走,而普通用户却没有受到打扰。