任何人都可以告诉我“Account Lockout
”一词吗?以及如何在PHP上实现它。以下信息来自一个名为“ACUNETIX
”的网站安全/审计工具。
描述
“Web开发人员面临的一个常见威胁是称为brute force attack
的密码猜测攻击。强力攻击是通过系统地尝试每个可能的字母,数字和符号组合来尝试发现密码,直到您发现一个有效的正确组合。
此登录页面没有任何针对密码猜测攻击(暴力攻击)的保护。有关解决此问题的详细信息,请参阅Web引用。
冲击
攻击者可能会尝试通过系统地尝试每个可能的字母,数字和符号组合来发现一周密码,直到它发现一个正常的组合有效。
建议
建议在定义数量的错误密码尝试后实施某种类型的account lockout
。“
答案 0 :(得分:1)
帐户锁定是密码策略 可用于锁定用户帐户 经过多次失败的绑定尝试后。 一旦帐户被锁定,那就是 用户将不被允许 认证
你可以看看这个php示例
http://www.weberdev.com/get_example-1380.html
您需要在数据库中保存用户尝试登录失败的次数,
3次后,您阻止用户进入您的网站
答案 1 :(得分:1)
你应该不自己创建登录系统但是使用OpenID(LightOpenID是一个非常好的用于php的openid库)。好的openid提供商已经对此进行了测量。
但是,如果您真的想自己做,保护自己免受此攻击的最简单方法是验证用户(没有自动脚本)使用CAPTCHA提交您的表单。在我看来,所有其他计划都可能存在缺陷。但是你可以使用的一些方案是让你的脚本在无效登录时睡觉(每次错误尝试都会增加它)。