6
저는 인증 및 무차별 대항 공격 보호 기능을 추가하려고합니다. 어떻게해야하는지 잘 모르겠습니다.brute-force 공격을 방지하려면 어떻게해야합니까?
특정 IP 주소에 대해 15 회 실패한 후 플랫 블록을 수행해야합니까? 아니면 사용자 이름과 연결해야합니까? 보안 문자 임계 값과 절대 차단 값이 둘 다 있어야합니까?
내가 따라야 할 다른 패턴이 있습니까?
A
답변
5
누군가가 실제로 무차별 공격을 시도한다면, 그는 작업 할 IP의 범위가있을 수 있습니다. 당신이 할 수있는 일은 시도가 끝날 때마다 지연 시간이 늘어나고 사용자 이름을 특정하게 만드는 것입니다. 보안 문자는 (다양한 각도로) 구타 될 수 있으므로 보안 문자 임계 값, '느린 문제'임계 값을 넣은 다음 한 시간 동안 차단하십시오.
이 방법을 강요하는 것은 엄청나게 어림도 없기 때문에 공격자가 주사 또는 다른 방법을 통해 데이터베이스의 암호 사본을 얻는 것에 대해 더 걱정할 것입니다.
사용중인 시스템 유형을 아는 것이 도움이됩니다. Linux/Windows? 아파치? – hafichuk
@hafi 나는 웹 사이트를 언급했다. ASP.Net에서 실행할 인증 라이브러리를 만들고있어 플랫폼이 누가 내 라이브러리를 사용하는지에 달려 있습니다. – Earlz
나는 서비스 거부 공격에 대해 더 걱정할 것입니다. – CodesInChaos