私は認証とブルートフォース保護の追加に取り組んでいます。どうすればいいのかわかりません。
特定のIPアドレスに対して15回失敗した後、フラットブロックを実行する必要がありますか?それともユーザー名に関連付ける必要がありますか?キャプチャしきい値と絶対カットオフの両方が必要ですか?
私が従うべき他のパターンはありますか?
1 に答える
5
誰かが本当にブルートフォースを試みている場合、彼は使用する IP の範囲を持っている可能性があります。できることは、試行ごとに遅延を増やし、ユーザー名固有にすることです。CAPTCHA は (さまざまな程度で) 打ち負かされる可能性があるため、CAPTCHA のしきい値、つまり「物事を遅くする」しきい値を設定してから、1 時間ブロックします。
この方法でブルート フォーシングを行うのは信じられないほどばかげているので、攻撃者がインジェクションなどによってデータベースからパスワードのコピーを取得することをもっと心配する必要があることに注意してください。
于 2011-11-18T19:02:48.190 に答える