标签: asp.net security account lockout
我正在使用Acunetix运行Web扫描,并且该扫描不断报告“登录页面密码猜测攻击”的两个警报。我们的应用程序是使用ASP.NET构建的,为了应对此安全警报,我已经实现了ASP.Identity随附的帐户锁定。它的工作原理是:如果用户输入了五次错误的密码,帐户将被锁定5分钟。
但是Acunetix在扫描后仍然报告登录页面猜测密码的攻击,并告诉我们我们的登录页面没有任何保护。我不明白,为什么会显示此警报? 5次尝试后5分钟的帐户锁定是否不够安全?