我已經設置我的數據庫來記錄每個失敗的登錄嘗試。我以爲我會用0.05秒或更多的時間乘以失敗的嘗試次數。例如:增加登錄時間延遲停止bruteforcing,好主意?
time_nanosleep(0, (50000000 * $failed_attempts));
更多黑客用來猜測密碼的嘗試,需要更多的時間來檢查每次。在檢查100個passords之後,他必須在每次嘗試之間等待5秒。
這是停止bruteforcing的好方法嗎?我通過IP識別用戶。所以我猜你可以通過使用多個代理服務器或其他東西來強制應用程序,但除此之外,我認爲這是一個好主意。你們有什麼感想?
擁有隨機延遲而不是固定延遲也是一件好事。 – akond 2011-01-27 17:10:06
我沒有看到太多的好處 - 無論如何,平均延遲會升高,這種情況將會變得很明顯,但是如果它吸引你的話,我也不會看到任何傷害。 – chaos 2011-01-27 17:11:22
@akond爲什麼有一個隨機延遲是好事? – ChrisW 2011-01-27 17:12:13