Pracuję nad uwierzytelnianiem i dodawaniem ochrony przed brutalną siłą. Nie jestem pewien, jak powinienem kontynuować.Jak mogę zapobiec atakom brutalnej siły?
Czy powinienem zrobić płaski blok po 15 nieudanych próbach dla określonego adresu IP ... czy powinienem powiązać go z nazwą użytkownika? Czy powinien istnieć zarówno próg captcha, jak i absolutne odcięcie?
Czy są inne wzory, które powinienem śledzić?
Jeśli ktoś naprawdę próbuje brutalnej siły, może mieć wiele adresów IP do pracy. Po każdej próbie można wprowadzić coraz większe opóźnienie i ustawić ją jako specyficzną dla użytkownika. CAPTCHA można pokonać (w różnym stopniu), więc ustaw próg captcha, próg "powolnego zmniejszania", a następnie po prostu zablokuj go na godzinę.
Pamiętaj, że brutalne wymuszanie tego sposobu jest niesamowicie głupie, więc bardziej martwiłbym się, że osoba atakująca otrzyma kopię haseł z bazy danych poprzez wstrzyknięcie lub cokolwiek innego.
Dobrze byłoby wiedzieć, jakiego typu systemu używasz. Linux/Windows? Apache? – hafichuk
@hafi Wspomniałem o stronie internetowej. Tworzę bibliotekę uwierzytelniania do uruchomienia na ASP.Net, więc platforma zależy od tego, kto używa mojej biblioteki. – Earlz
Byłbym bardziej zaniepokojony atakiem typu odmowa usługi. – CodesInChaos