那些遇到过的问题

防止对Web应用程序的字典攻击

Kev*_*ang 18 security cryptography

什么是防止字典攻击的最佳方法?我已经想到了几个实现,但它们似乎都有一些缺陷:

  1. X登录尝试失败后锁定用户.问题:容易变成拒绝服务攻击,在很短的时间内锁定了许多用户.
  2. 增加用户名上每次登录尝试失败的响应时间.问题:字典攻击可能使用相同的密码但使用不同的用户名.
  3. 从IP地址逐次增加每次登录尝试失败的响应时间.问题:通过欺骗IP地址轻松绕过.
  4. 在会话中每次失败登录尝试的增量响应时间递增.问题:通过创建字典攻击很容易解决,该攻击会在每次尝试时触发新会话.

roo*_*ook 21

我非常喜欢gmail的反暴力系统.它基于用户可以累积的"热量",在用户过热后,它们被提示用验证码.您可以使用sql数据库或使用redis incr跟踪热量.将热量分配给IP地址. 由于三次握手,在互联网上"欺骗"tcp连接是100%不可能的,但是代理服务器很多并且ip地址非常便宜.代理服务器通常用于发送垃圾邮件,您可以检查黑名单并自动提示他们使用验证码.

针对您的系统的每个不良操作都将更新热表.例如,登录失败将累积35%的热量.一旦热水平大于或等于100%,则用户被迫解决验证码.解决验证码将"冷却"该IP地址.热表可以包含时间戳列,该列设置为更新时的当前时间.大约24小时后,热量可以恢复到0.

reCaptcha是您可以使用的最安全的验证码.

归档时间:

查看次数:

4507 次

最近记录:

6 年,6 月 前
相关归档
Convert.ToBase64String/Convert.FromBase64String和Encoding.UTF8.GetBytes/Encoding.UTF8.GetString之间的区别 13
"Spring Security"和"Java身份验证和授权服务(jaas)" 9
重复使用Java的SecureRandom 8
如何隐藏 nextjs API 路由以防止通过 URL 直接访问? 8
Android防破解,无论如何都值得吗? 6
Google/Tink:如何使用公钥验证签名 6
在java中初始化密钥库时插入智能卡问题 5
通过 HTTPS 提供单页面应用程序的必要性 5
如何阻止Spring Security创建新会话? 3
如何查找哪个应用拥有模态窗口? 3
难疑归档
如何在单个表达式中合并两个词典? 4349
什么是sleep()的JavaScript版本? 2115
在JavaScript中定义枚举的首选语法是什么? 1982
如何在Python中小写一个字符串? 1908
使用Git从先前的提交中分支 1658
我怎样才能找到带有Mathematica的Waldo? 1538
没有指定分支的"git push"的默认行为 1339
在JavaScript中修剪字符串? 1285
创建将T限制为枚举的通用方法 1122
Access-Control-Allow-Origin标头如何工作? 1050