Tôi đang làm việc về xác thực và thêm tính năng bảo vệ chống bạo lực. Tôi không chắc làm thế nào tôi nên tiến hành.Làm cách nào để ngăn chặn các cuộc tấn công bạo lực?
Tôi có nên làm một khối phẳng sau 15 lần thử không thành công cho một địa chỉ IP nhất định không ... hoặc tôi có nên gắn nó với tên người dùng không? Nên có cả một ngưỡng captcha và một ngưỡng cắt tuyệt đối?
Có các mẫu khác mà tôi nên theo dõi không?
Nếu ai đó thực sự đang thử sức mạnh vũ phu, anh ấy có thể có nhiều IP để làm việc cùng. Những gì bạn có thể làm là đặt một sự chậm trễ ngày càng tăng sau mỗi lần thử, và làm cho nó tên người dùng cụ thể. CAPTCHA có thể bị đánh bại (với các mức độ khác nhau), do đó hãy đặt một ngưỡng captcha, một ngưỡng 'chậm lại' và sau đó chỉ chặn nó trong một giờ.
Lưu ý rằng brute buộc cách này là cực kỳ ngu ngốc vì vậy tôi sẽ lo lắng hơn về kẻ tấn công nhận được một bản sao của mật khẩu từ cơ sở dữ liệu thông qua tiêm hoặc bất cứ điều gì.
Sẽ hữu ích khi biết bạn đang sử dụng loại hệ thống nào. Linux/Windows? Apache? – hafichuk
@hafi Tôi đã đề cập đến trang web. Tôi đang thực hiện một thư viện xác thực để chạy trên ASP.Net, do đó, nền tảng này phụ thuộc vào người sử dụng thư viện của tôi. – Earlz
Tôi sẽ lo lắng hơn về sự tấn công từ chối dịch vụ. – CodesInChaos