2011-11-18 20 views
6

私は認証に力を入れています。私はどのように進めるべきか分かりません。ブルートフォース攻撃を防止するにはどうすればよいですか?

特定のIPアドレスが15回失敗した後にフラットブロックを実行するだけでいいですか、それともユーザー名と結び付けるべきですか?キャプチャ閾値と絶対カットオフの両方があるべきか?

次のパターンがありますか?

+0

使用しているシステムの種類を知っておくと便利です。 Linux/Windows? Apache? – hafichuk

+0

@hafi私はウェブサイトに言及した。 ASP.Net上で動作する認証ライブラリを作成しているので、プラットフォームは誰が自分のライブラリを使用するかによって異なります。 – Earlz

+0

サービス拒否攻撃が心配です。 – CodesInChaos

答えて

5

誰かが本当に強引な試みをしているのであれば、使用するIPの範囲があるかもしれません。あなたができることは、試行のたびに遅延が増え、ユーザー名に固有のものにすることです。 CAPTCHAは(さまざまな程度に)殴られるので、キャプチャのしきい値、「遅いもの」のしきい値を入れて、1時間だけブロックします。

このように強要することは信じられないほど愚かであるため、攻撃者がデータベースからパスワードのコピーを注射などで入手することを心配しています。

関連する問題