我想阻止机器人攻击弱密码保护帐户.(例如,这发生在ebay和其他大型网站上)
所以我将设置一个(mem-)缓存值,包括ip,尝试次数和上次尝试的时间戳(memcache-fall-out).
但是如果机器人试图用一个密码打开任何帐户呢?例如,机器人尝试使用密码"password123"的所有500.000 Useraccounts.也许10会开放.
所以我的尝试是用try尝试缓存ip并将max-try设置为~50.我会在成功登录后删除它.因此,好机器人只需每49次尝试重置锁定就可以使用有效帐户登录.
有没有办法做对吗?大平台对此有何看法?我该怎么做才能防止白痴通过重试50次来阻止代理上的所有用户?
如果没有最佳实践 - 这是否意味着任何平台都是强力的?至少提示何时重置计数器?
我想你可以将你的解决方案与验证码混合使用:
计算每个IP的尝试次数
如果在给定时间内来自给定IP地址的尝试次数过多,请在登录表单中添加验证码.
有些网站在您开始输入验证码以及您的用户名/密码之前,可能会给您两到三次尝试.成功登录后,验证码就会消失.
京公网安备 11010802040832号 | 京ICP备19059560号-6 