6
私は認証に力を入れています。私はどのように進めるべきか分かりません。ブルートフォース攻撃を防止するにはどうすればよいですか?
特定のIPアドレスが15回失敗した後にフラットブロックを実行するだけでいいですか、それともユーザー名と結び付けるべきですか?キャプチャ閾値と絶対カットオフの両方があるべきか?
次のパターンがありますか?
A
答えて
5
誰かが本当に強引な試みをしているのであれば、使用するIPの範囲があるかもしれません。あなたができることは、試行のたびに遅延が増え、ユーザー名に固有のものにすることです。 CAPTCHAは(さまざまな程度に)殴られるので、キャプチャのしきい値、「遅いもの」のしきい値を入れて、1時間だけブロックします。
このように強要することは信じられないほど愚かであるため、攻撃者がデータベースからパスワードのコピーを注射などで入手することを心配しています。
関連する問題
- 1. XSS攻撃防止
- 2. 2次SQL攻撃を防止するにはどうすればよいですか?
- 3. XSS攻撃を防止する
- 4. IPアドレスをブロックしてブルートフォース攻撃を防ぎます。
- 5. Apache基本認証はブルートフォース攻撃を防御していますか?
- 6. PHPでURLエンコードされたXSS攻撃を防止する
- 7. ACUNETIX - ログインページのパスワード推測攻撃 - ブルートフォース攻撃とアカウントロックアウト
- 8. 防御攻撃
- 9. JavascriptとXSS攻撃の防止
- 10. リプレイ防止REST URLのリプレイ攻撃
- 11. 収益の拒否攻撃を防止または阻止するにはどうすればよいですか?
- 12. ajaxフォームの提出に対してブルートフォース攻撃を防ぐ方法は?
- 13. Djangoでサービス拒否攻撃を防止するためのベストプラクティス
- 14. ブルートフォース攻撃に対して、クリプトとソルトはMD5よりどのように安全ですか?
- 15. クエリ文字列に<script>要素を配置するXSS攻撃を防止するにはどうすればよいですか?
- 16. 悪意のあるリクエスト - DOS攻撃を防止する
- 17. 防止ブルートフォース
- 18. DOS攻撃(Heroku)を防止するためのレート制限
- 19. XSS攻撃を防ぐ
- 20. ブルートフォース攻撃からSQL Server 2008の負荷を定量化するには?
- 21. MITM攻撃で有効なSSL証明書を提供するにはどうすればよいですか?
- 22. SQLインジェクション攻撃のURLを確認するにはどうすればよいですか?
- 23. モバイルアプリでフィッシングを防止するにはどうすればよいですか?
- 24. CompileAssemblyFromSourceのメモリリークを防止するにはどうすればよいですか?
- 25. ダブルクリック防止をテストするにはどうすればよいですか?
- 26. フライウェイトオブジェクトのコピーを防止するにはどうすればよいですか?
- 27. Firefoxのオートコンプリートを防止するにはどうすればよいですか?
- 28. CSSグラデーションバンディングを防止するにはどうすればよいですか?
- 29. XSS攻撃防止を備えたWYSIWYGエディタはありますか?
- 30. オープンリダイレクト攻撃を防ぐ方法は?
使用しているシステムの種類を知っておくと便利です。 Linux/Windows? Apache? – hafichuk
@hafi私はウェブサイトに言及した。 ASP.Net上で動作する認証ライブラリを作成しているので、プラットフォームは誰が自分のライブラリを使用するかによって異なります。 – Earlz
サービス拒否攻撃が心配です。 – CodesInChaos