2012-09-17 9 views
2

Captcha 구현에 대해 많은 논의가 있었지만 Captcha를 요구하는 금융 소프트웨어에 대해 어떤 세부 정보를 찾을 수 없었습니다.Captcha 규칙을 요청하는시기

내가 생각할 규칙의 일부 : 3 로그인에 실패하면

  1. 이/등록이
  2. 3의 경우 중복 통화를 시도를 사용자가 이미 로그인 한 경우

나는이 규칙이 구동된다 생각합니다. 보안 위험을 통해 더 나은 방법을 관리 할 수 ​​있습니까? 이 문제를 해결하는 데 도움이되는 모든 라이브러리?

+0

댓글 : 주요 질문은 이러한 규칙을 관리하는 방법입니다. 정적 코드로 하드 ​​코딩되거나 다른 방식으로 관리합니까? 이것에 도움이 될만한 소프트웨어 라이브러리가 있습니까? – anonmys

답변

2

이와 같은 상황에서는 항상 보안과 편의성 사이에서 타협해야합니다. 나는 당신이 선택한 특정 번호가 괜찮다고 생각합니다. 인간 일 가능성이 높습니다.은 그런 일을하지 않으며 무엇인가가 있다면 일 것입니다.은 합법적 인 사용자가 아닙니다. CAPTCHAs를 계속 요구하기 시작한 후에도 해당 사례를 계속 계산하고 어떤 시점에서 경고를 기록하고 결국 조치가 취해지면 결국 IP 주소를 금지하는 것이 좋습니다.

사용자를 추적하는 방법 중 하나가 위험 할 것입니다. 쿠키를 사용하면 더 정확하지만, 봇은 대부분의 경우 쿠키를 보내지 않고 추적을 피할 수 있습니다. 유일한 실제 솔루션은 IP 주소로 추적하는 것입니다. 이 문제는 공유 IP 주소 뒤에있는 모든 사용자가 동일하게 보이므로 3 명의 사용자가 모두 단일 로그인에 실패하면 3 명의 사용자가 1 회 실패 할 때와 동일하게 보입니다 (대부분). 또한 누군가가 귀하의 사이트를 악용하여 합법적으로 금지 당하고 공유 IP 주소 뒤에있는 경우 다른 합법적 인 고객이 영향을받을 수 있습니다.

요약하면 보안과 편의간에 필요한 균형을 찾아야합니다.

+0

IP 주소 또는 사용자에 의한 금지는 사람 또는 전체 네트워크에 대한 서비스 거부 공격을 유발할 수 있습니다. captcha를 구현하기 만하면됩니다. –

+0

@MarcusAdams 그래서 나는 그가 균형을 찾아야한다고 말한다. 누군가가 한 주소에서 사이트를 악용하는 경우 금지되어야하지만 다른 사용자에게 미치는 잠재적 영향을 고려해야합니다. 그리고 난 단지 몇 가지 잘못된 암호가 아니라 심각한 학대 후 IP 주소를 금지하는 것이 좋습니다. –

+0

국가에 따라 동일한 IP 주소를 사용하는 사용자가 많은 경우 IP 주소 차단이 작동하지 않습니다. – anonmys