我正在制作cakephp 2.x.我正在使用auth组件..我想询问是否有可能在auth组件中跟踪用户失败登录尝试,而且我在谷歌搜索并且我发现了这个组件
http://bakery.cakephp.org/articles/aep_/2006/11/04/brute-force-protection
我应该在我的cakephp 2.3中使用它。该组件是否兼容2.3?我想防止我的应用程序暴力破解。那么这个组件对我来说是完美的吗?或者是否还有其他好的组件或更好的方法来处理蛮力?
答案 0 :(得分:2)
不,这是一个不好的方法IMO。
首先使用blowfish或某种哈希与“慢加密”。这是最重要的基础因素。
然后不要使用Session,IP或其他易于欺骗的数据来保护您的登录,而是使用用户想要登录的实际用户记录。这样,攻击者无法通过更改其IP或其他标识功能来影响登录尝试的数量。它还可以更好地防范僵尸网络攻击(一次使用多台计算机)。
因此,如果他尝试以“carl”身份登录,请计算在特定时间内发出的请求过多(此帐户的临时禁用登录)时,对此特定帐户和黑洞进行的登录。当然,他仍然可以通过这种方式运行所有用户,但他永远不会真正暴力破坏用户。 但是,在特定时间段之后,您应该再次为该用户“启用登录”。