मैं प्रमाणीकरण पर काम कर रहा हूं और ब्रूट-बल सुरक्षा जोड़ रहा हूं। मुझे यकीन नहीं है कि मुझे कैसे आगे बढ़ना चाहिए।मैं ब्रूट-फोर्स हमलों को कैसे रोक सकता हूं?
क्या मुझे एक निश्चित आईपी पते के 15 विफल प्रयासों के बाद एक फ्लैट ब्लॉक करना चाहिए ... या क्या मुझे इसे उपयोगकर्ता नाम से जोड़ना चाहिए? क्या एक कैप्चा थ्रेसहोल्ड और एक पूर्ण कटऑफ होना चाहिए?
क्या अन्य पैटर्न हैं जिनका पालन करना चाहिए?
यदि कोई वास्तव में एक क्रूर बल की कोशिश कर रहा है, तो उसके पास काम करने के लिए कई प्रकार के आईपी हो सकते हैं। आप क्या कर सकते हैं प्रत्येक प्रयास के बाद लगातार बढ़ती देरी डालती है, और इसे उपयोगकर्ता नाम विशिष्ट बनाती है। कैप्चा को पीटा जा सकता है (अलग-अलग डिग्री के लिए) तो कैप्चा ट्रेसहोल्ड, 'धीमी चीजें नीचे' थ्रेसहोल्ड डालें और फिर इसे एक घंटे तक अवरुद्ध करें।
ध्यान दें कि इस तरीके से मजबूर करने के लिए क्रूर अविश्वसनीय रूप से बेवकूफ है इसलिए हम हमलावर के बारे में अधिक चिंतित होंगे कि डेटाबेस से पासवर्ड इंजेक्शन या जो कुछ भी हो।
यह जानना उपयोगी होगा कि आप किस प्रकार की प्रणाली का उपयोग कर रहे हैं। लिनक्स/विंडोज? अमरीका की एक मूल जनजाति? – hafichuk
@ हफी मैंने वेबसाइट का उल्लेख किया। मैं ASP.Net पर चलाने के लिए प्रमाणीकरण लाइब्रेरी बना रहा हूं, इसलिए प्लेटफॉर्म इस बात पर निर्भर करता है कि मेरी लाइब्रेरी का उपयोग कौन करता है। – Earlz
मैं सेवा हमले से इनकार करने के बारे में अधिक चिंतित हूं। – CodesInChaos