Firebase用户枚举攻击

Question

我正在寻找有关Firebase保护以防止暴力密码猜测的更多详细信息。

在这个thread中，加藤说“我们根据来源限制请求以减轻任何蛮力的方法”，是否可以提供更多信息？特别是：

• 什么时候开始限制，如果在任何时候客户端被完全阻止了一段时间等？

• 我们是否可以在安全规则中指定一些失败的尝试，之后客户端将被锁定一段时间？

我想在我的应用上切换到仅数字'numpad'密码，并担心枚举攻击。我需要确定使密码安全的最小位数。

谢谢！

Answer 1

弗兰克在评论中回答，所以我只是添加了两个可能有用的其他信息：

• Firebase会阻止使用少于6个字符的密码（请参阅FirebaseAuthWeakPasswordException）
• 在特定设备上检测到异常活动时，会引发特定错误代码（ERROR_TOO_MANY_REQUESTS）。因此，您可以轻松地进行一些测试，以查看错误触发的速度。我刚刚做了，3-4次错误的密码尝试触发了错误并阻止了我设备的请求。

来自doc： auth/too-many-requests 如果由于异常活动而阻止了设备请求，则抛出该异常。在延迟一段时间后再次尝试将取消阻止。