Cách tốt nhất để ngăn chặn cuộc tấn công từ điển là gì? Tôi đã nghĩ ra một số triển khai nhưng tất cả chúng dường như có một số lỗ hổng trong chúng:Ngăn chặn các cuộc tấn công từ điển trên ứng dụng web
- Khóa người dùng sau khi đăng nhập thất bại X. Vấn đề: dễ biến thành tấn công từ chối dịch vụ, khóa nhiều người dùng trong một khoảng thời gian ngắn.
- Tăng thêm thời gian phản hồi cho mỗi lần đăng nhập không thành công trên tên người dùng. Vấn đề: tấn công từ điển có thể sử dụng cùng một mật khẩu nhưng tên người dùng khác nhau.
- Tăng thêm thời gian phản hồi cho mỗi lần đăng nhập không thành công từ địa chỉ IP. Vấn đề: dễ dàng để có được xung quanh bằng cách giả mạo địa chỉ IP.
- Tăng thêm thời gian phản hồi cho mỗi lần đăng nhập không thành công trong một phiên. Vấn đề: dễ dàng để có được xung quanh bằng cách tạo ra một cuộc tấn công từ điển mà cháy lên một phiên mới trên mỗi nỗ lực.
Không phát minh lại bánh xe, hãy xem các ứng dụng web khác đang hoạt động như thế nào. Tại sao không sử dụng hình ảnh xác thực? – Konerak