当前,网站在无效登录尝试时向用户提供通用消息,例如:
The username or password you entered is not valid
保护垃圾邮件发送者的电子邮件。但是,我在某处读到这还不够,因为如果已经采用电子邮件地址,注册表单将警告用户。因此,垃圾邮件发送者可以通过填写注册表单而不是登录表单来查找有效的电子邮件。
问题:我们怎样才能防止这种情况发生?有没有一种处理这种情况的好方法?
答案 0 :(得分:1)
防止暴力破坏的一个非常好的方法是在检查之前添加一个增加的延迟。
一个相当不错的方法是在显示错误之前添加1秒的延迟,这意味着电子邮件被采用,然后将用户的两倍加到2秒,然后是4加8等。你可以在16秒时将其最大化,或者在此之后阻止IP 10分钟。
这样,真实用户可以获得1秒,2秒或4秒的延迟(不多),但是强制执行变得过于费力。