制限されたログイン試行

Question

私はログインシステムを作成していますが、誤ったユーザー名とパスワードが与えられたときに数分間ログインしようとする人をブロックしたいとします。

私はIPでそれをブロックする方法を知っていますが、それは例えばブロックを作成します。私がそこにいるなら、学校全体。 これで、ユーザーがアクセスをブロックするために入力したユーザー名を使用できましたが、入力されたユーザー名がデータベースに存在しない可能性があります。

私の質問は： 存在しないユーザー名を入力したユーザーのブロックを作成する方法を教えてください。 それにはどんな種類のデータベーステーブルが必要ですか？

また、私はセッションとクッキーを使用する可能性を探しましたが、セッションやクッキーを削除するために作成できるセキュリティ問題が残っています。

誰かが私を助けることができたら、私はそれを感謝します。

Answer 1

私は、ユーザー名を忘れた貧しい夫ではなく、ブルートフォース攻撃から脱出しようとしていると信じています。

難しいCAPTCHAメカニズムを実装することで、自動化された攻撃のほとんどを防ぐことができます。特定のIPアドレスからの試行回数とその連続試行間隔を同時にカウントします。いずれかの攻撃があなたのCAPTCHAの解決を管理している場合でも、異常な活動を数分で検出し、そのIP全体へのアクセスをブロックすることができます。しばらくの間、組織全体をオフラインにするかもしれませんが、深刻な攻撃のために少なくともブラックアウトを経験するのを助けることができます。

ほとんどのブルートフォースシステムは、すべてのリクエストに対して新しいクッキーをクリアして生成するため、セッションとクッキーは役に立ちません。