这个问题本质上是语言不可知的,但在我的情况下,我使用PHP为任何人想知道。记录失败的登录尝试
我想跟踪用户失败的登录尝试次数,以便在X
失败尝试后显示CAPTCHA。唯一的办法就是防止暴力攻击。它不一定是一个非常安全的方式,只是令人讨厌,无法推迟那些蛮横的人。
我正在考虑创建会话变量$_SESSION['failedLoginAttempts']
,并在每次检测到失败的登录尝试时增加它。攻击者仍然可以替换浏览器或者删除他的cookies来继续前进,但是这会使他(即他用来执行暴力的任何工具)每次尝试都浪费几秒钟的时间,因此尝试的次数会很高降低。
从一秒钟到一对夫妇的攻击每分钟将是理想的,那么攻击可以忽略不计。
这种方法是否正确或我错过了什么?另外,这些情况下的最佳做法是什么?
他们可能会跳到不同的用户名。也许通过IP登录? – ethrbunny 2013-03-20 21:57:31