防止暴力攻击的最佳方法是什么？ [关闭]

我有我的登录页面，当然我想防止暴力攻击并减少用户登录时的延迟。

目前，您输入用户名和密码进行登录。

我正在考虑实施验证码 http://www.google.com/recaptcha。但是，在尝试 3 次失败后登录时会显示此信息。

我的问题是：

1. 你的尝试基于什么？ IP 地址？它总是可以隐藏...用户名？如果他们尝试使用不存在的用户怎么办？

2. 计算失败登录尝试的最佳方法是什么？

会话不可靠，因为它们依赖于 cookie，CAPTCHA 经常被破坏 [包括 ReCAPTCHA]。唯一可靠的方法看似简单：提出问题。不要使用数学问题，因为计算机出奇由于某种原因擅长解决这些问题。伟大的旧备用是这样的：

• 第六段第四个词是什么这一页 http://example.org/page/?
• 这个网站的作者叫什么名字？[hint] http://example.com/about

这是愚蠢的——很容易实现，但对于机器来说却很难解决。

至于强制，请尝试在用户表中添加两个字段，“first_failed_login”[INTEGERunix 时间戳或DATETIME] 和“failed_login_count”。 [INTEGER]

<?php
$bad_login_limit = 3;
$lockout_time = 600;

$first_failed_login, failed_login_count; // retrieve from DB

if(
    ($failed_login_count >= $bad_login_limit)
    &&
    (time() - $first_failed_login < $lockout_time)
) {
  echo "You are currently locked out.";
  exit; // or return, or whatever.
} else if( /* login is invalid */ ) {
  if( time() - $first_failed_login > $lockout_time ) {
    // first unsuccessful login since $lockout_time on the last one expired
    $first_failed_login = time(); // commit to DB
    $failed_login_count = 1; // commit to db
  } else {
    $failed_login_count++; // commit to db.
  }
  exit; // or return, or whatever.
} else {
  // user is not currently locked out, and the login is valid.
  // do stuff
}

这将使您的登录系统每 10 分钟仅识别每个用户 3 次登录尝试。