那些遇到过的问题

Firebase 用户枚举攻击

kof*_*fus 3 firebase firebase-authentication

我正在寻找有关 Firebase 防止暴力密码猜测的更多详细信息。

在这个帖子中,加藤说“我们按来源限制请求以减轻任何暴力方法”,可以提供更多信息吗?尤其:

  • 何时开始限制以及是否在任何时候客户端完全被阻止一段时间等?

  • 我们能否在安全规则中指定尝试失败的次数,之后客户端将被锁定一段时间?

我想在我的应用程序上切换到仅包含数字的“小键盘”密码,并且担心枚举攻击。我需要确定保证密码安全的最小位数。

谢谢!

Kqt*_*qtr 5

弗兰克在评论中回答了,所以我只是添加两个可能有用的附加信息:

  • Firebase 阻止使用少于 6 个字符的密码(请参阅FirebaseAuthWeakPasswordException
  • 当在特定设备上检测到异常活动时,会引发特定错误代码 (ERROR_TOO_MANY_REQUESTS)。因此,您可以轻松地进行一些测试,看看触发错误的速度有多快。我刚刚这样做了,3-4 次错误的密码尝试触发了错误并阻止了来自我的设备的请求。

来自文档: auth/too-many-requests 如果由于异常活动而阻止来自设备的请求,则抛出该异常。延迟一段时间后重试即可解锁。

归档时间:

查看次数:

1498 次

最近记录:

3 年 前
Firebase电子邮件和密码身份验证是否具有任何安全配置选项? 4
更多相关链接
相关归档
Firebase云消息传递不适用于Android上的Build变体 8
禁用Firebase云消息传递的Analytics服务 7
Swift + Firebase安全无法正常工作 7
gRPC-Core 1.14.0 和 1.14.1 的 pod 更新问题 6
Flutter Firebase 动态链接在新安装中不起作用 6
Firebase Android - 如何判断节点是否已同步 5
Firebase数据库 - 反向索引中的安全性考虑因素 5
iOS IDFA:Firebase和Google Adwords通用应用广告系列设置 5
在等待 Firebase 身份验证时在 React Native 应用程序中显示加载微调器 5
如何将 Firebase 会话 Cookie 延长超过 2 周 3
难疑归档
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
如何在Python中延迟时间? 2638
如何恢复Git中丢失的存储? 1617
如何在Linux中更改echo的输出颜色 1582
Git如何处理符号链接? 1515
如何将分离的HEAD与master/origin协调? 1506
将文件从Docker容器复制到主机 1438
如何在Git中仅提交区分大小写的文件名更改? 1157
参考 - 这个错误在PHP中意味着什么? 1071
jQuery的jquery-1.10.2.min.map触发了404(未找到) 1051