Защитите ядро ​​ASP.NET от ввода учетных данных

Question

ASP.Net Core имеет защиту от перебора паролей путем блокировки учетной записи после фиксированного количества попыток входа в систему.логины, но всегда с разными именами пользователей?Блокировка учетной записи не поможет, так как учетная запись меняется при каждой попытке.Но, может быть, есть способ заблокировать IP-адрес от нескольких попыток входа в систему или какой-либо другой хорошей идеи для предотвращения заполнения учетных данных?

Answer 1

Я бы порекомендовал использовать проверки скорости с Redis, это в основном просто удушение определенных IP-адресов.Также некоторые мошенники будут также вращать IP-адреса, вы также можете определить, когда входы происходят чаще (скажем, в 10 раз больше нормы), и начать блокировать все входы в систему для этого короткого окна.Я написал сообщение в блоге, подробно описав некоторые из вышеперечисленных.Код весь в ноде, но я привел несколько примеров высокого уровня того, как мы прекращаем мошенничество в Precognitive (мой текущий концерт).В течение следующих нескольких месяцев я буду продолжать использовать этот код, так как буду публиковать больше статей в своей серии «Передача аккаунта».

https://medium.com/precognitive/a-naive-demo-on-how-to-stop-credential-stuffing-attacks-2c8b8111286a

Answer 2

многие веб-сайты теперь запрещают IP-адреса только из-за этого, но проблема сейчас в том, что взломщики (люди, которые взламывают с использованием учетных данных) используют прокси-серверы (IP: порт) для входа в систему, маскируя свои IP-адреса и позволяя им проверятьОГРОМНЫЕ списки.единственный способ, вероятно, замедлить эти попытки входа в систему - заставить всех пользователей использовать капчу, но опять же есть способы обойти это.