6
私は認証に力を入れています。私はどのように進めるべきか分かりません。ブルートフォース攻撃を防止するにはどうすればよいですか?
特定のIPアドレスが15回失敗した後にフラットブロックを実行するだけでいいですか、それともユーザー名と結び付けるべきですか?キャプチャ閾値と絶対カットオフの両方があるべきか?
次のパターンがありますか?
私は認証に力を入れています。私はどのように進めるべきか分かりません。ブルートフォース攻撃を防止するにはどうすればよいですか?
特定のIPアドレスが15回失敗した後にフラットブロックを実行するだけでいいですか、それともユーザー名と結び付けるべきですか?キャプチャ閾値と絶対カットオフの両方があるべきか?
次のパターンがありますか?
誰かが本当に強引な試みをしているのであれば、使用するIPの範囲があるかもしれません。あなたができることは、試行のたびに遅延が増え、ユーザー名に固有のものにすることです。 CAPTCHAは(さまざまな程度に)殴られるので、キャプチャのしきい値、「遅いもの」のしきい値を入れて、1時間だけブロックします。
このように強要することは信じられないほど愚かであるため、攻撃者がデータベースからパスワードのコピーを注射などで入手することを心配しています。
使用しているシステムの種類を知っておくと便利です。 Linux/Windows? Apache? – hafichuk
@hafi私はウェブサイトに言及した。 ASP.Net上で動作する認証ライブラリを作成しているので、プラットフォームは誰が自分のライブラリを使用するかによって異なります。 – Earlz
サービス拒否攻撃が心配です。 – CodesInChaos