使用していますリセットプラクティス:ブルートフォースproectionは、パスワードが、私はfolowing手順に基づいて、PHP + MySQLのパスワードリセットシステムを
ブルートフォース攻撃の防御に最も適した手順は? 私のロジックは、電子メールフォームとユニークなハッシュを読み取るコードページの両方を保護する必要があることを示しています。 繰り返し、彼はそれがシステム内にあることを知っているアドレスのためのフォームを使用してから誰かを守ることであろうメールフォームでこれを実装するための理由は - 私はこれはかなりロジックですが、私の質問は、コードリーダーページの主だと思います。 私はそのページをIP、セッション、または短時間の間のどこからでも試行することに基づいて制限する必要がありますか? ベストプラクティスとはどのようなドキュメントですか?
免責事項:これが最良の答えではないかもしれませんが、これは私が実用化するものです。
ハッカーは何をビーチにすることができますか?
1)ユーザー名とパスワードの文字列を繰り返し送信します。
2)もし彼のIPが(あなたが5回以上間違ったパスワードを入力した場合、私の電話のように)より多くの入力をブロックする。彼はブロック時間の後に攻撃を再開する。
3)自分のIPブロックを取得した場合、彼は事実上、自分のIPを変更し、攻撃を再起動します。
============================================== =========
私たち(google/steamのようなシステムでさえ)は何をしますか?
1)二重認証のオプションを保持します。
- >銀行のOTPシステムと同様。これは、ハッカーがハックするのをより困難にします。動的であるためにあなたの携帯電話でur OTPを必要とする必要があるので。
2)IPは目的を果たしますブロッキング: 我々はchange ip in数秒することができますし、再びアクセスサイトにしてみてください。
3)ブロッキングアカウント。
- >ユーザーが多くの試行(たとえば15)で間違ったパスワードを入力した場合、自分で認証するまで(自分のモバイル/メールに送信された)自分のアカウントを直接ブロックすることができます。
ボーナスポイント:
Formoreセキュリティ
1)デバイスの検出:ユーザーのほとんどは、オフィスコンピュータ、thier携帯、自宅のデスクトップにログインするために特定デバイスを使用
。よく知られていないデバイスの上に入力があった場合、そのデバイスに対して通知を送信します。
地理的位置から無効な要求を検出2):
いくつかのハッカーなりすましIPおよび地理的位置が、彼らは失敗した試みの後にそれを変更することを忘れかもしれないし、あなたがより多くの攻撃について学ぶためにこれを使用しても、地理的に使用することができますロケーションロック。
私の主な質問は次のとおりです。ハッカーはこのような検証ページを強制的に強制しようとしますか? www.mywebsite/validationcode/kjhiaf87rf87tefte84f34f8gf77 – valiD