如何防止暴力攻击？

Question

我正在研究身份验证并添加暴力保护。我不知道我应该如何继续。

我是否应该在某个 IP 地址尝试 15 次失败后进行平面阻止……还是应该将其与用户名绑定？是否应该同时存在验证码阈值和绝对截止值？

我还应该遵循其他模式吗？

Answer 1

如果有人真的尝试暴力破解，他可能有一系列 IP 可供使用。您可以做的是在每次尝试后增加延迟，并使其特定于用户名。验证码可以被击败（在不同程度上），因此设置一个验证码阈值，一个“放慢速度”的阈值，然后将其阻止一个小时。

请注意，暴力破解这种方式非常愚蠢，因此我更担心攻击者通过注入或其他方式从数据库获取密码的副本。