Jaki jest najlepszy sposób na zapobieganie atakom słownikowym? Wymyśliłem kilka implementacji, ale wszystkie mają pewną wadę:Zapobieganie atakom słownikowym w aplikacji internetowej
- Blokuje użytkownika po X nieudanych próbach logowania. Problem: łatwo przekształcić się w atak typu "odmowa usługi", blokując wielu użytkowników w krótkim czasie.
- Przyrostowe wydłużenie czasu odpowiedzi na nieudaną próbę logowania na nazwę użytkownika. Problem: ataki słownikowe mogą używać tego samego hasła, ale różnych nazw użytkownika.
- Przyrostowe wydłużenie czasu odpowiedzi na nieudaną próbę logowania z adresu IP. Problem: łatwo obejść się pod fałszywym adresem IP.
- Przyrostowe wydłużenie czasu odpowiedzi na nieudaną próbę zalogowania w ramach sesji. Problem: łatwo obejść się, tworząc atak słownikowy, który uruchamia nową sesję przy każdej próbie.
Nie wynajduj ponownie koła, zobacz, jak robią to inne aplikacje internetowe. Dlaczego nie skorzystać z captcha? – Konerak