针对 Web 应用程序的密码列表攻击的最佳实践

Question

我想防止机器人攻击弱密码保护的帐户。 （例如，这发生在 eBay 和其他大型网站上）

所以我将使用 ip、尝试次数和上次尝试的时间戳设置一个（mem-）缓存值（memcache-fall-out）。

但是如果机器人尝试仅使用一个密码开设任何帐户呢？ 例如，机器人尝试使用密码“password123”的所有 500.000 个用户帐户。 也许10个会开放。

所以我的尝试是用 attempts 缓存 ip 并将 max-tries 设置为 ~50。 成功登录后我会删除它。 因此，好机器人每 49 次尝试重置锁就会使用有效帐户登录。

有什么办法可以做到正确吗？ 大平台对此有何举措？ 我该怎么做才能防止白痴通过重试 50 次来阻止代理上的所有用户？

如果没有最佳实践——这是否意味着任何平台都可以暴力破解？ 至少提示一下计数器何时重置？

Answer 1

我认为您可以将您的解决方案与验证码混合使用：

1. 计算每个 IP 的尝试次数
2. 如果在给定时间内来自给定 IP 地址的尝试次数过多，请添加 验证码 到您的登录表单。

Answer 2

有些网站可能会尝试两到三次，然后才开始要求您输入验证码以及用户名/密码。 成功登录后，验证码就会消失。

Answer 3

前几天有一篇关于Coding Horror的比较好的文章。

Answer 4

虽然代码重点关注 Django，但对于最佳实践方法有一些非常好的讨论 Simon Willison 的博客。 他使用 memcached 来跟踪 IP 和登录失败。

Answer 5

当用户将密码设置为确保他们没有使用容易被暴力破解的密码。

编辑：需要明确的是，这不应被视为您要解决的问题的完整解决方案，但应将其与其他一些答案结合起来考虑。

Answer 6

您永远无法阻止一群机器人从许多不同的 IP 地址尝试此操作。

来自同一 IP 地址：我想说，如果您看到“可疑”行为的示例（无效的用户名，或多个有效帐户尝试不正确的登录尝试），只需阻止登录几秒钟即可。 如果是合法用户，他们不会介意等待几秒钟。 如果是机器人，这会减慢它们的速度，达到不切实际的程度。 如果您继续看到该 IP 地址的行为，只需阻止它们即可，但为合法用户留下带外门（拨打电话 #x，或向此地址发送电子邮件）。

Answer 7

请注意：IP 地址可以在数千甚至数百万用户之间共享！ 例如，由于 AOL 的网络架构，大多数/所有 AOL 用户显示为非常小的 IP 地址集。 大多数 ISP 将其庞大的用户群映射到一小组公共 IP 地址。

您不能假设某个 IP 地址仅属于单个用户。

您不能假设单个用户仅使用单个 IP 地址。

Answer 8

检查以下问题，讨论针对分布式暴力和字典攻击的最佳实践：

什么最好的分布式暴力对抗措施是什么？