Cách tốt nhất để thực hiện lệnh cấm sau khi có quá nhiều lần đăng nhập

Question

Tôi đã nghiên cứu điều này trong 2 ngày qua sau khi triển khai hệ thống của riêng mình vì cấm quá nhiều lần thử. Nhưng tôi đã không tìm thấy câu trả lời thích hợp mà tôi đang tìm kiếm. Mà khá nhiều là, cách tốt nhất để thực hiện điều này là gì?

Hiện tại tôi đã thực hiện điều này thông qua lệnh cấm IP, nếu IP đó liên tiếp mắc lỗi đăng nhập 10 lần, IP bị cấm trong 30 phút kể từ khi có thể đăng nhập, họ vẫn có thể duyệt trang web. Tuy nhiên, nếu điều này xảy ra ở một khu vực dân cư cao, chẳng hạn như khuôn viên trường đại học, điều này sẽ không ngăn chặn hiệu quả toàn bộ trường học khi đăng nhập?

Vì vậy, có cách nào tốt hơn để thực hiện việc này, không sử dụng địa chỉ IP? Tôi đã nghĩ rằng tôi có thể làm điều đó với các tập tin cookie, nhưng người dùng cố gắng để bạo lực một tài khoản chỉ đơn giản có thể xóa cookie của họ sau mỗi 10 lần thử.

Answer 1

Cách tiếp cận tôi đã theo dõi một lần tương tự như cách tôi gặp phải trên trang ngân hàng điện tử của ngân hàng của tôi. Nó cấm đăng nhập thêm cho một số lượng ngày càng tăng trên cơ sở mỗi tài khoản, nói 5 lần thử, trong đó bạn đợi 10 giây, 1 phút, 5 phút, 15 phút, sau đó 30 phút chẳng hạn. Kẻ tấn công thường nhắm mục tiêu một tài khoản cụ thể. Cũng nên có một quy tắc chung được áp dụng cho mỗi địa chỉ IP, khóa đăng nhập sau một số lần thử nhất định, mà phải lớn hơn 5, nói 10. Ngoài cả hai quy tắc, bạn có thể so sánh các trình duyệt và cookie, vv để tăng dung sai.

Answer 2

Tạo bảng mysql có tên "failed_logins" với hai trường, trường "Người dùng"/khóa ngoài và trường "Dấu thời gian".

Khi người dùng đăng nhập thành công, hãy xóa tất cả các hàng "failed_logins" cho người dùng đó.

Khi người dùng đăng nhập không thành công, hãy tạo hàng mới trong "failed_logins" cho người dùng đó bằng dấu thời gian hiện tại.

Trên mỗi nỗ lực đăng nhập cho một người dùng nhất định, trước khi kiểm tra để xem nếu mật khẩu là đúng/sai:

• chạy một truy vấn xóa tất cả "failed_logins" hàng già hơn 15 phút (ví dụ).

• chạy truy vấn kiểm tra số lượng hàng trong fail_logins cho người dùng đang cố đăng nhập. Nếu> = 5 (ví dụ), hãy xóa nỗ lực đăng nhập, thông báo cho người dùng rằng họ đã bị khóa tài khoản của họ và thử lại sau một thời gian ngắn.

Kết quả: Người dùng bị khóa tài khoản sau 5 lần đăng nhập không thành công trong vòng 15 phút.

Answer 3

Đôi khi bạn cần thêm bảo vệ bổ sung cho trang web được bảo vệ bằng mật khẩu. Bài viết này giải thích cách truy cập vào trang đăng nhập có thể bị hạn chế sau ba lần đăng nhập không thành công. Lược đồ này sử dụng địa chỉ IP của khách truy cập để lưu trữ các nỗ lực đăng nhập trong cơ sở dữ liệu và chặn quyền truy cập vào tính năng đăng nhập trong 30 phút sau lần thử thứ ba không thành công.

http://webcheatsheet.com/php/blocking_system_access.php