我正在进行身份验证并添加暴力保护。我不知道该怎么办。
我应该在尝试某个IP地址失败15次之后做一个平坦的阻止......还是应该将它绑定到用户名?是否应该有验证码阈值和绝对截止值?
我应该遵循其他模式吗?
答案 0 :(得分:5)
如果某人真的在尝试蛮力,他可能会使用一系列IP。你可以做的是在每次尝试后增加一个不断增加的延迟,并使其具有特定用户名。 CAPTCHA可以被打败(在不同程度上),因此设置验证码阈值,“缓慢降低”阈值,然后阻止它一小时。
请注意,强行使用这种方式是非常愚蠢的,所以我更担心攻击者通过注入或其他方式从数据库中获取密码的副本。