Son Twitter hijackings ve kaba kuvvete karşı web sitenizin güvenliğini sağlamak için en iyi yolu nedir Jeff's post on Dictionary Attacks, cevap olarak giriş saldırılar?

Jeff sonrası denenen bir giriş için artan bir gecikme koyarak önerir ve yorumlar bir öneri 2. girişimi başarısız olduktan sonra bir kaptan eklemektir.

Bu iyi bir fikir gibi görünüyor, her ikisi de, ama ne kadar "sayı"? girişimi Bir oturum KİMLİĞİ bir saldırgan, her zaman değişebilir çünkü) veya IP adresini () daha iyi, ama botnet karşı savunmasız güvenemezsin. Sadece kullanıcı adı karşı günlük gecikme yöntemi kullanarak, meşru bir kullanıcı (ya da en azından oturum açma işlemi çok yavaş olun) lokavt olabilir.

Düşünceler? Öneriniz var mı?

Veritabanı-kalıcı kısa verilen hesap kilitleme süresi (1-5 dakika) bunu halletmenin tek yolu olduğunu düşünüyorum. Veritabanınızdaki her kullanıcı kimliği bir TimeOfLastFailedLogin ve numberOfFailedAttempts içerir. Ne zaman numbeOfFailedAttempts >X birkaç dakika için kilitleme.

Bu, söz konusu kullanıcı kimliği bir süre, ama kalıcı olarak değil kilitleme demektir.Ayrıca başka sorunlara neden olabilecek her oturum açma girişimi, elbette kilitli değilse) için veritabanı güncelleniyor demektir.

En azından bütün bir ülke Asya'da NAT edildi, IP edemez bir şey için kullanılabilir.