web開發電子郵件保護

Question

Currenty，網站提供了通用的消息發送到用戶的無效登錄attemps如：

The username or password you entered is not valid 

保護電子郵件從垃圾郵件發送者。但是，我在某處讀到這是不夠的，因爲如果電子郵件地址已被佔用，註冊表單會警告用戶。因此，垃圾郵件發送者可以通過嘗試填寫註冊表單而不是登錄表單來找到有效的電子郵件。

問題：我們該如何預防？有沒有處理這種情況的好方法？

Answer 1

防止暴力強制的一個相當不錯的方法是在檢查之前增加延遲時間。

一個相當好的方式是表示錯誤暗示電子郵件被取前添加1秒的延遲，那麼其提高到2秒，然後4然後8等的用戶。您可以在16秒鐘內將其最大化，或者在此之後阻止IP達10分鐘。

這樣，真正的用戶會得到1秒，2秒或4秒的延遲（不會太多），但暴力破解變得太費力。