尝试过多后如何延迟登录尝试(PHP)

一个好的开始就是睡觉(1);登录尝试失败后 – 易于实现,几乎没有错误.

1秒对于人类来说并不多(特别是因为人类的登录尝试经常不会失败),但是1秒/尝试暴力……懒散！字典攻击可能是另一个问题,但它在同一个域中.

如果攻击者启动也可以通过连接来规避这种情况,那么就可以处理一种DOS攻击.问题解决了(但现在你有另一个问题).

你应该考虑的一些东西：

>如果您基于每个IP锁定帐户,则私有网络可能存在问题.
>如果您以用户名为基础锁定帐户,则可以再次使用已知用户名进行拒绝服务攻击
>基于IP /用户名锁定(其中用户名是被攻击者)可以更好地工作

我的建议：
完全锁定是不可取的(DOS),因此更好的选择是：从唯一的IP计算某个用户名的登录尝试.你可以用一个简单的表fail_logins：IP / username / failed_attempts来做到这一点

如果登录失败,请等待(failed_attempts);秒.每隔xx分钟,运行一个减少failed_logins的cron脚本：failed_attempts减一.

对不起,我无法提供预制解决方案,但这应该是无足轻重的.

好吧好吧.这是伪代码：

<?php
$login_success = tryToLogIn($username,$password);

if (!$login_success) {
    // some kind of unique hash
    $ipusr = getUserIP() . $username;

    DB:update('INSERT INTO failed_logins (ip_usr,failed_attempts) VALUES (:ipusr,1) ON DUPLICATE KEY UPDATE failed_logins SET failed_attempts = failed_attempts+1 WHERE ip_usr=:ipusr',array((':ipusr' => $ipusr));

    $failed_attempts = DB:selectCell('SELECT failed_attempts WHERE ip_usr=:ipusr',array(':ipusr' => $ipusr));

    sleep($failed_attempts);
    redirect('/login',array('errorMessage' => 'login-fail! ur doin it rong!'));
}
?>

免责声明：这可能在某些地区不起作用.我听到的最后一件事是在亚洲有一个整个国家NATed(他们都知道功夫).