我已经设置我的数据库来记录每个失败的登录尝试。我以为我会用0.05秒或更多的时间乘以失败的尝试次数。例如:增加登录时间延迟停止bruteforcing,好主意?
time_nanosleep(0, (50000000 * $failed_attempts));
更多黑客用来猜测密码的尝试,需要更多的时间来检查每次。在检查100个passords之后,他必须在每次尝试之间等待5秒。
这是停止bruteforcing的好方法吗?我通过IP识别用户。所以我猜你可以通过使用多个代理服务器或其他东西来强制应用程序,但除此之外,我认为这是一个好主意。你们有什么感想?
拥有随机延迟而不是固定延迟也是一件好事。 – akond 2011-01-27 17:10:06
我没有看到太多的好处 - 无论如何,平均延迟会升高,这种情况将会变得很明显,但是如果它吸引你的话,我也不会看到任何伤害。 – chaos 2011-01-27 17:11:22
@akond为什么有一个随机延迟是好事? – ChrisW 2011-01-27 17:12:13