所以我读过一些关于如何实现暴力登录保护的文章,但是所有这些文章似乎都有一些缺点,所以我发现了这些方法:
Captcha
由于有"验证码求解器",我不认为这是非常有效的。
根据失败的登录尝试次数禁止IP地址
这可能会导致帮助台上的大量额外工作,恶意攻击者可以通过伪造他们的ip来故意锁定无辜的客户
锁定登录失败次数#的帐号 与上述原因相同,恶意攻击者可以锁定客户端
蜜罐 好吧,我不认为这适用于任何有经验的黑客
设备Cookie
这是迄今为止我发现的最好的,它确实提高了安全性,但本身还不够。
因此,如果以上所有技术都有一定程度的弊端,谷歌,自由职业者等大型网站如何实施BFP?它只是一切的组合,还是我错过了什么?
此外,攻击者可以判断用户名是否滥用注册用户名检查?