私は、Webアプリケーション用のより洗練されたロックアウトメカニズムを構築しようとしていました。ユーザーが無効なユーザーIDとパスワードを3回入力したときに、無効なパスワードでアカウントをロックアウトし、ページにアクセスするIPアドレスをロックアウトすることが有益かもしれないと考えていました(IPロックアウトでは、または10分)。これは悪い方法ではありません。なぜなら、誰かがユーザーIDとパスワードを釣っているとしたら、しばらくエントリーしてから遅くしたいからです。セキュリティ機能:システムからユーザをロックアウトする - より良い選択肢?
これは良い方法ですか、それとも良い方法があると思いますか?
ありがとうございました。
最初のアプローチは、埋め込まれたASP.NETのメンバーシップのデフォルトの動作ですしかし、第2のものは非常に良いアイデアではありません。なぜなら、vpnによってIPアドレスを変更することは攻撃者にとっては問題ではありませんが、実際の攻撃の多くは複数のマシンで行われます。
もう1つの問題は、ISPの多くのマシンに属するIPアドレス、または1つの有効なIPでNATされたLANを禁止することです。
キャプチャのようなボット検出機構を置く方が良い考えです。
これはサービス拒否の脆弱性です。
ユーザー名が分かっている場合、5分ごとに3つのHTTPリクエストを送信して、ログインできないようにすることができます。
ユーザー名をロックしないでください。
3は、同一IPからの行のログインを失敗した後(または、あなたは、同じユーザー名にしたい場合は)その代わり、あなたがCAPTCHAを要求すべきである
これはいい考えです、ありがとう。 –
はい、感謝します、ありがとうございます。 –