0

アカウント情報を漏らすアプリの部分を力ずくで攻撃しようとする攻撃者を遅らせたいです。(たとえば、使用中のユーザー ID でサインアップ ページをヒットすると、ページの応答は、ユーザー ID がその後の辞書攻撃に適していることを示します。)

連続して失敗した試行をどんどん遅くするための適切なアルゴリズムは何ですか? 実際の例としては、iPhone での連続した不正なパスワードが挙げられます。

私はPHPで実装していますが、疑似コードの応答をいただければ幸いです。答えの重要な部分は次のとおりです。

悪い試行 N では、X だけ応答を遅らせます。

そして、本当に素晴らしい答えには、次のものが組み込まれます。

M 回の試行は人為的エラーの許容範囲内であるため、曲線は M+1 付近で「ホッケースティック」になります。

4

1 に答える 1

0

単純な幾何学的形状は、たとえば一般的な名前を持つ人々にとっては厳しすぎるように感じます。(John Smith は、使用されていないユーザー ID を見つけるために数回試行する必要がある場合があります。)

sleep(pow(2,$failed_attempts));

多分私はばかげた定数を選んでいますか?

于 2013-01-16T17:25:16.660 に答える