1
爲了防止對登錄系統的暴力攻擊,應該允許多少次失敗的登錄嘗試 - 以及在哪段時間?應該允許多少次失敗的登錄嘗試 - 以及在哪段時間?
「鎖定賬戶」意味着什麼 - 只是不允許他們登錄(即使有一個好的密碼)?
A
回答
0
我會允許每個IP地址5次登錄嘗試,然後阻止來自該IP的登錄嘗試15分鐘。
這將使bruteforcing非常困難,因爲改變IP是花費時間的。
不要依賴cookies,因爲他們可以很容易地被用戶或黑客操縱..
我曾經試圖強制一些系統(當然都在我自己的網站上),我敢肯定,上面提到的方式是最安全的方式。
順便說一句,輸錯密碼5次不是很難嗎?
是的,「鎖定帳戶」意味着不允許登錄,即使密碼很好。
0
我聽說過它(但沒有實現)的一種方法是增加每次登錄之間的等待時間,並將其加倍。
所以在第一次失敗的嘗試後,讓用戶等待1秒,然後在2秒後,然後4秒等等。這樣,嘗試失敗後不會鎖定用戶,但會停止蠻力嘗試,因爲每次嘗試需要2^x(其中x是失敗嘗試次數)秒。
1
這可能是應該配置的東西。無論您選擇哪種值作爲默認值,在將來某個時間的特定攻擊可能會使不同的值更加可取(至少暫時)。
+0
不僅能夠切換默認值,還能夠檢查日誌,以便您可以識別代理並將其列入黑名單,如果不能,您可以看到ips自動嘗試獲取密碼的模式,同時不會破壞您的限制和全部那些可以完成的其他事情,而不會在默認規則集下進行。 – Prix 2011-04-18 22:37:40
0
正如在Security Stackexchange上詳細討論的那樣,有許多思想流派。
這絕對是個不錯的主意,不要「鎖定」並且需要手動干預,因爲這隻會導致拒絕服務攻擊,並且需要僱用更多的幫助臺人員。
增量延遲似乎很有價值 - 它會打破強力嘗試,但仍允許普通用戶在輸入時出現一些錯誤而不會損壞他的一天。例如5秒,10秒,15秒,30秒,1分鐘,2分鐘,3分鐘,5分鐘,10分鐘仍然允許有人進入而不需要重設密碼並且幾乎不受任何正常蠻力攻擊。
+0
如果用戶第一次嘗試並沒有得到它,然後再次嘗試,而系統說你是X中的1個嘗試中的一個,它會得到他的使用恢復密碼將是一個更容易的選項。您是否經常嘗試3次鎖定您的在線銀行密碼,或者如果您錯過了第2次密碼,以避免必須一路去銀行解鎖,您是不是經常鎖定您的在線銀行密碼? – Prix 2011-04-18 22:40:25
+0
@Prix - 我不鎖定我的帳戶。但是很多人這樣做,因此服務檯工作人員的一些成本! – 2011-04-19 07:36:03
3
不,它非常難以錯誤輸入密碼5次。我確定我以前做過。特別是當我剛剛更改密碼時。 – Tundey 2011-04-18 12:06:35