Ear*_*rlz 6 security authentication brute-force
我正在进行身份验证并添加强力保护.我不知道该怎么办.
在尝试某个IP地址失败15次之后,我应该只是做一个平坦的阻止......还是应该将它绑定到用户名?是否应该有验证码阈值和绝对截止值?
我应该遵循其他模式吗?
如果有人真的在尝试蛮力,他可能会使用一系列IP.你可以做的是在每次尝试后增加一个不断增加的延迟,并使其具有特定用户名.CAPTCHA可以被打(不同程度),所以把一个验证码阈值,一个'慢下来'阈值,然后阻止它一个小时.
请注意,强制这种方式的暴力是非常愚蠢的,因此我更担心攻击者通过注入或其他方式从数据库中获取密码的副本.
| 归档时间: |
|
| 查看次数: |
645 次 |
| 最近记录: |