我见过网页应用程序有限制用户登录尝试.
这是安全必需品,如果是,为什么?
例如: 您有三次失败的登录尝试,让我们在10分钟内再试一次!!
我曾经看到过一种创造性的方法......
对于每次登录尝试失败,锁定时间会以指数方式增加.
attempt | lockout time ====================== 1 | 2s 2 | 4s 3 | 8s 4 | 16s 5 | 32s 6 | 64s 7 | 128s 8 | 256s 9 | 512s 10 | 1024s
从理论上讲,它可以让用户犯一两个错误,但只要它看起来像是一次"黑客攻击"尝试,黑客就会被锁定越来越长的时间段.
我自己还没有用过这个,但从概念上讲,我非常喜欢这个想法.当然,成功登录后,计数器将被重置.