在防止自动登录尝试方面。我有一个表格,我记录每个用户的每次尝试,然后在连续5次尝试登录失败后锁定帐户30分钟。
这足以避免使用验证码?
或两种技术都是互补的?如果是这样,怎么样?
如果此问题属于堆栈安全性,请迁移。
答案 0 :(得分:0)
我认为你在混合不同的东西。
一个是阻止机器人记录。这意味着用户必须自己输入密码,而不是创建一个为他做的程序。为此你必须使用某种验证码。例如,它用于防止合法登录的用户自动下载到许多资源。
完全不同的是阻止黑客猜测其他用户的密码。锁定帐户是防止它的好方法。当然,你在这里使用验证码。它肯定会使攻击变得更难。你可以用它来打开锁定的密码。您甚至可以在每次登录时使用验证码,但这会让您的用户感到愤怒