azk*_*oki 19 security authentication captcha login
在最近的一个项目中,我在登录表单上放置了验证码测试,以阻止可能的暴力攻击.
其他同事的直接反应是要求将其删除,并说它是为了这个目的而不合适的,并且在那个地方看到验证码是非常奇特的.
我已经在注册,联系人,密码恢复表格等上看过验证码图片.所以我个人并没有看到inapropiate也把验证码放在这样的地方.好吧,它显然会降低可用性,但这只是时间问题而已经习惯了.
由于缺少验证码测试,人们不得不设置某种黑名单/帐户锁定机制,这也有一些缺点.
这对你来说是个不错的选择吗?我是否有点过敏症,需要某种团体治疗?
提前致谢.
int*_*tgr 35
只需在给定用户的登录尝试失败时添加CAPTCHA测试.这就是许多网站目前所做的事情(例如所有流行的电子邮件服务),并且侵入性更小.
然而,只要攻击者不能破坏你的CAPTCHA,它就会完全阻止暴力攻击.
这本身并不是不道德的.这是糟糕的可用性.
考虑安全隐患:用户将考虑登录是耗时的,并将:
考虑其他形式的暴力攻击检测和预防.
在登录表单中,Captcha不是一个非常传统的选择.对暴力攻击的传统保护似乎是帐户锁定.正如您所说,它有它的缺点,例如,如果您的应用程序容易受到帐户枚举的攻击,那么攻击者就可以轻松地执行拒绝服务攻击.