Captchaは悪い練習ですか？ブルートフォース攻撃者からの保護方法

Question

以下のことについて助言したいと思います：

私はPHPでMVCフレームワークを作っています。そして、私はブルートフォース攻撃者から保護する必要があります。だからセキュリティのために、私はいくつかのキーを入力する必要がある "認証が必要"ボックスのようないくつかを持っているため、Webアプリケーションを使用し続けることができます。

同じIPアドレスで2〜3回送信すると、IPはブロックされ、約30分間はブロックされます。これは問題ありませんが、ハッカーが2-3回の経験ごとにIPを変更することは可能です。

今私は、より良いセキュリティのために、フォーム上にcaptchaを置くと思いますが、私はcaptchaを読むのは悪い考えです。

これで、私はブルートフォース攻撃からウェブアプリを保護するために何ができるのか本当に分かりません。

私の質問は、どのようにブルートフォース攻撃から保護することができますか？ captchaはそれを認証形式か悪い考えに入れるのがいいですか？

Answer 1

あなたのフォームにCSRF保護機能を持たせることをお勧めします。ほとんどのポピュラーなフレームワークでは、この機能がフォームクラスに組み込まれています。 フォームには隠れた入力があり、ページの読み込みごとに値が更新され、バックエンドサービスによるフォームの送信時にチェックされます。トークンPhalconPHPフレームワークによって生成された

例CSRF：

<input type="hidden" name="OlHsF0T091MhuDR" value="d7xvFcHKUh8FjWU"> 

ここにCSRFの保護についての詳細情報：https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

また、私はあなたがあなた自身を実装する方法にオンラインガイドがたくさんありますかなり確信していますあなたのカスタムフレームワークのソリューション。

今、Captchasについて。

キャプチャは、登録やお問い合わせフォームには常に良いアイデアです。しかし、Captchaを使ったログインフォームでは、ほとんどのユーザーにとっては苛立つでしょう。 私が銀行や支払いウェブサイトで使用しているのは、失敗した試行回数が少なくてもログイン時にCaptchaが表示されるということです。 Skrillのは、このような行為を使用しての 例：それはあなたの実際のユーザーのために非常に簡単であり、すべてのほとんどは、それが障害を持つユーザーにアクセスを提供するので、https://account.skrill.com/login?locale=en

私はGoogle's Recaptchaサービスを使用してお勧めします。また、Googleは良い統計情報を提供し、ボットを非常にうまく処理します。