最近有人试图尝试使用我的CMS的强力密码破解。我知道这是因为密码被锁定之前的最大尝试次数已经达到。
我理解这种特殊类型的攻击,强大的密码短语将有助于减少受到攻击的可能性。但是,我希望更进一步。
我的网站可在互联网上访问,供所有用户查看。但是,有一个页面我想排除不在我的专用网络上的用户查看。
我正在考虑创建一个C#方法(因为我正在运行一个ASP应用程序),这将排除对不在我的专用网络IP范围内的任何地址的访问。
如何帮助减少在我的CMS登录时发生强力密码攻击的可能性?
答案 0 :(得分:0)
我发现如果你在每个失败的密码尝试之间有一个几何上增加的延迟,它的效果非常好。
例如,从3秒开始,在每次失败的密码尝试时加倍:3,6,18,36,72等。你非常非常快地达到某人会厌倦等待的程度10尝试之间的-20-30分钟,很可能会转移到更容易的目标上。
这与非常难以猜测的密码相结合是非常简单的解决方案。
您还可以使用authy等工具轻松添加双因素授权:https://www.twilio.com/authy以获得更高的安全性。