所以我已经阅读了一些关于如何实现暴力登录保护的文章,但是它们似乎都有一些缺点,所以我找到了以下方法:
Captcha
由于有“验证码求解器”,我认为这不是很有效。根据失败的登录尝试次数禁止 IP 地址
这可能会导致帮助台上的大量额外工作,恶意攻击者可以通过伪造他们的 ip 故意锁定无辜的客户锁定帐户失败的登录尝试次数
与上述原因相同,恶意攻击者可以锁定客户端蜜罐
好吧,我认为这对任何有经验的黑客都不起作用device cookies
这是迄今为止我发现的最好的一个,它确实提高了安全性,但它本身还不够。
那么,如果上述所有技术都有一定程度的缺陷,那么像 google、freelancer 这样的大网站是如何实现 BFP 的呢?它只是一切的组合,还是我错过了什么?
此外,攻击者能否通过滥用注册用户名检查找出用户名?