使用していますリセットプラクティス:ブルートフォースproectionは、パスワードが、私はfolowing手順に基づいて、PHP + MySQLのパスワードリセットシステムを
- 挿入メールフォーム
- 一意のハッシュに
- 読み取りハッシュページを生成し、 をリセット認可
- 新しいパスワードを選択
ブルートフォース攻撃の防御に最も適した手順は? 私のロジックは、電子メールフォームとユニークなハッシュを読み取るコードページの両方を保護する必要があることを示しています。 繰り返し、彼はそれがシステム内にあることを知っているアドレスのためのフォームを使用してから誰かを守ることであろうメールフォームでこれを実装するための理由は - 私はこれはかなりロジックですが、私の質問は、コードリーダーページの主だと思います。 私はそのページをIP、セッション、または短時間の間のどこからでも試行することに基づいて制限する必要がありますか? ベストプラクティスとはどのようなドキュメントですか?
私の主な質問は次のとおりです。ハッカーはこのような検証ページを強制的に強制しようとしますか? www.mywebsite/validationcode/kjhiaf87rf87tefte84f34f8gf77 – valiD