Функция безопасности: блокировка пользователя из системы - лучшие альтернативы?

Question

Я пытался создать более сложный механизм блокировки для веб-приложения.Я подумал, что может быть полезно, чтобы, когда пользователь вводит неверный идентификатор пользователя и пароль 3 раза, блокирует учетную запись с неверным паролем, а также блокирует IP-адрес для доступа к странице (по блокировке IP, я имею в виду для 5или 10 минут).Это неплохой подход, потому что если кто-то ищет идентификаторы и пароли пользователей, я бы хотел их замедлить после входа на некоторое время.

Как вы думаете, это хороший способ сделать это?или есть лучшие способы сделать это?

Спасибо.

Answer 1

Первый подход - поведение по умолчанию для встроенного членства ASP.NET, но второй - не очень хорошая идея, так как изменение IP-адреса с помощью vpn не является проблемой для злоумышленника, хотя большинство реальных атак будет выполнятьсянесколько машин.

Другая проблема заключается в том, что вы запрещаете IP-адрес, принадлежащий многим машинам в провайдере, или локальную сеть, которая была NAT с одним действительным IP-адресом.

Установка механизма детектора ботовкак капча было бы лучшей идеей.

Answer 2

Это уязвимость отказа в обслуживании.
Если я знаю ваше имя пользователя, я могу навсегда запретить вам входить в систему, отправляя 3 HTTP-запроса каждые 5 минут.

Не блокируйте имя пользователя.

Вместо этого вам потребуется CAPTCHA после 3 неудачных попыток входа в систему с одного IP-адреса (или, если хотите, с одним и тем же именем пользователя)