PHP 中限制用户登录尝试

Question

我见过一些网络应用程序对用户登录尝试有限制。

这是出于安全需要吗？如果是，为什么？

例如：您尝试登录失败了 3 次，请在 10 分钟后重试！！

Answer 1

我曾经看到过一种创造性的方法......

对于每次失败的登录尝试，锁定时间都会增加......呈指数级增长。

attempt | lockout time
======================
   1    |     2s
   2    |     4s
   3    |     8s
   4    |    16s
   5    |    32s
   6    |    64s
   7    |   128s
   8    |   256s
   9    |   512s
  10    |  1024s

从理论上讲，它会让用户犯一两个错误，但一旦它看起来成为“黑客”尝试，黑客就会被锁定越来越长的时间。

我自己还没有使用过这个，但从概念上讲我非常喜欢这个想法。 当然，成功登录后，计数器会重置。

Answer 2

澄清 这是对其他答案的补充。 使用良好的验证码以及使用会话的反暴力破解机制。
提问者将此标记为已接受，假设验证码无法被机器读取（她几乎是对的），因此它得到了负分，因为人们认为这不是一个完整的答案& 他们是对的。

---

此外，使用良好实施的验证码可能是增强应用程序安全性以抵御暴力攻击的另一种方法。 各种各样的验证码提供商 免费提供，如果您赶时间，让我们尝试一下简单的方法。 另请注意，这里有人们说“哦，不！这个验证码不够安全，但有时它们是对的！”。

“对于那些不知道的人来说，验证码是一种可以判断其用户是人类还是另一台计算机的程序。它们是您翻译的扭曲文本的小图像当您注册 Gmail 或在某人的博客上发表评论时，他们的目的是确保某人不会使用计算机自动注册数百万个在线帐户，或者..” 参考。

Answer 3

限制在网站上进行的尝试次数是为了防止暴力（自动）攻击您的网站。 如果您不限制这些尝试，黑客可以设置一个脚本来不断猜测密码，直到找到密码，这可能会影响您的 Web 服务器的可用性。

通常，您可能希望在 3 次尝试后让用户超时（如您提到的 10 分钟），并在连续 6 或 9 次重复尝试后将其锁定，迫使用户与您联系以解锁其帐户。 之所以这样做，是因为有人可以修改他们的脚本来调整您的超时。

Answer 4

如果用户可以设置自己的密码，某些机器人/孩子将尝试使用常用密码列表登录并成功。 如果他们不认识任何用户，他们会尝试常见的名称，如 admin、simon、rico 等。

仅在会话中标记用户并没有帮助，因为他们可以删除末尾的 cookie 或查询参数。 您需要统计 IP 和登录名的登录尝试失败次数。 也许对 IP 更加宽容，因为它可以在许多用户之间共享。

Answer 5

对于我自己的项目，我编写了一个通用的“洪水控制”库来处理此类事情。

它允许我指定在 X 时间内可以进行多少次尝试。 它允许在短时间内进行一定数量的“宽限”尝试，因此只有真正不寻常的行为才会被捕获。

我在数据库中记录了一些内容：

• IP 地址（或其前 24 位）
• 尝试的操作（即“登录”、“搜索”、“评论”）
• 尝试时间 尝试
• 次数（尝试计数器）

对于每次尝试，我都会查询部分 IP 地址和操作，如果之前的尝试是在某个时间窗口内进行的，那么我会增加该尝试的尝试计数器。 如果尝试计数器超过允许的宽限尝试次数，则我检查最后一次尝试是否在现在的 X 秒内，如果是，则返回 false - 因此该操作将被阻止（并且用户将被告知在尝试之前等待 X 秒）再次）。 如果尝试计数器低于宽限尝试次数，则我返回 true 并让它滑动。

如果稍后有相同 IP 的人过来，则不会获取之前的尝试计数，因为它已经是很久以前的事了。

Answer 6

是的，有必要保护帐户免受复杂的暴力攻击（例如使用机器人和字典文件），甚至有人试图猜测帐户的密码。

Answer 7

正确登录后重置失败的尝试几乎使整个系统变得毫无价值。

然后，任何注册用户都可以对其他人的帐户和密码进行三次猜测，然后使用自己的帐户和密码登录以重置计数器，然后重复 - 这也可以自动化。 例如，普通注册用户可以暴力破解管理员密码。

重置需要由管理员完成，而不是简单地登录成功。

Answer 8

我认为在数据库中放置“尝试失败”计数器将是最安全、最简单的方法。 这样用户就无法绕过它（通过禁用 cookie）。 当然，登录成功后会重置。

您可以按 IP 和/或用户名进行计数。 IP 的优点是您可以阻止一个人尝试破解多个帐户。 如果您按用户名进行计数，则可以阻止使用服务器场的人员，并且不会意外限制同一网络上的人员。