사용하고 다시 연습 :브 루트 포스 proection 암호 내가 folowing 단계에 따라 PHP + MySQL의 암호를 재설정 시스템을
무차별 대입 공격에 가장 적합한 단계는 무엇입니까? 내 논리에 따르면 전자 메일 양식과 고유 한 해시를 읽는 코드 페이지를 모두 보호해야한다고 나와 있습니다. 반복적으로 그는이 시스템에 알고있는 주소의 양식을 사용하는 사람을 보호하는 것입니다 이메일 양식에서이를 구현하기위한 이유는 -이 꽤 로직하지만 내 질문은 코드 리더 페이지 주로 생각합니다. 짧은 시간 간격으로 어디서나 IP, 세션 또는 총 시도를 기준으로 해당 페이지를 제한해야합니까? 모범 사례는 무엇입니까?
면책 조항 :이 가장 좋은 대답하지 않을 수도 있지만 내가 실질적으로 구현하는 것이다.
해커가 해변에 할 수있는 것을 고려해보십시오.
1) 그는 반복적으로 사용자 이름과 암호 문자열을 보냅니다.
2) 그의 IP가 더 많은 입력을 차단하는 경우 (UR 전화와 마찬가지로 5 회 이상 잘못된 비밀번호를 입력하는 경우와 동일). 블로킹 시간이 지나면 공격을 다시 시작합니다. 자신의 IP 블록을 얻는 경우
3) 그는 거의 자신의 IP를 변경하고 공격을 다시 시작합니다.
============================================== =========
우리는 (Google 시스템/스팀과 같은 시스템조차도) 무엇을합니까?
1) 그들은 이중 인증을위한 옵션을 유지한다.
-> 은행 OTP 시스템처럼. 해커가 해킹하기가 더 어려워 질 것입니다. 그가 동적 인 귀하의 모바일에서도 ur OTP를 요구해야하기 때문에. IP는 목적을 제공합니다 차단
2) : 우리가 할 수있는 change ip in 몇 초 다시 액세스 사이트를보십시오.
3) 차단 계정.
-> 사용자가 여러 번 시도 (예 : 15)에 잘못된 비밀번호를 입력하면 자신이 인증 할 때까지 자신의 계정을 직접 차단할 수 있습니다 (모바일/이메일로 전송).
보너스 포인트 :
Formore 보안
1) 장치 감지 : 대부분의 사용자
사무실 컴퓨터, 자신의 모바일, 홈 바탕 화면에서 로깅 특정 장치를 사용합니다. 익숙하지 않은 장치를 통해 입력을 받으면 사용자에게 알립니다.
지리적 위치에서 유효하지 않은 요청을 감지2) :
일부 해커 스푸핑 IP 및 지리적 위치하지만,이 시도가 실패한 후이를 변경하는 것을 잊지 수 있으며 더 많은 공격에 대해 알아 보려면이를 사용하고도 지리적를 사용할 수 있습니다 위치 잠금.
내 주요 질문은 다음과 같습니다. 해커가 이러한 유효성 검사 페이지를 무차별 적으로 시도합니까? www.mywebsite/validationcode/kjhiaf87rf87tefte84f34f8gf77 – valiD