作为对最近的回应推特劫持 and Jeff 关于字典攻击的帖子,保护您的网站免受暴力登录攻击的最佳方法是什么?
Jeff 的帖子建议为每次尝试登录增加延迟,并且评论中的建议是在第二次失败的尝试后添加验证码。
这两个看起来都是好主意,但是你怎么知道它是多少“尝试次数”呢?您不能依赖会话 ID(因为攻击者每次都可能更改它)或 IP 地址(更好,但容易受到僵尸网络的攻击)。使用延迟方法,简单地根据用户名进行记录就可以锁定合法用户(或者至少使他们的登录过程非常缓慢)。
想法?建议?
我认为给定帐户的数据库持久锁定期(1-5 分钟)是处理此问题的唯一方法。每个userid
在你的数据库中包含一个timeOfLastFailedLogin
and numberOfFailedAttempts
. When numbeOfFailedAttempts > X
你会被锁定几分钟。
这意味着您正在锁定userid
问题会持续一段时间,但不会永久。它还意味着您要为每次登录尝试更新数据库(当然,除非它被锁定),这可能会导致其他问题。
亚洲至少有一个国家/地区经过 NAT,因此 IP 不能用于任何用途。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)