在登录表单上放置验证码是不道德的吗？

Question

在最近的一个项目中，我在登录表单上进行了验证码测试，以阻止可能的暴力攻击。

其他同事的第一反应是要求删除它，说它不适合这个目的，在那个地方看到验证码是相当异国情调的。

我已经在注册，联系人，密码恢复表单上看到验证码的图片，所以我个人认为在这样的地方也放验证码是不合适的。显然，它会消耗一点可用性，但这只是一个时间问题，并逐渐适应它。

在缺乏验证码测试的情况下，人们将不得不加入某种黑名单/帐户锁定机制，这也有一些缺点。

这对你来说是一个好的选择吗？我是不是有点狂热，需要某种集体治疗？

提前谢谢。

Answer 1

当给定用户的登录尝试失败时，只需添加CAPTCHA测试即可。这是目前许多网站都在做的事情(例如所有流行的电子邮件服务)，而且侵入性要小得多。

然而，只要攻击者不能破解你的验证码，它就能完全挫败暴力攻击。

Answer 2

这本身并不是不道德的。它的可用性很差。

考虑安全方面的影响:用户会认为登录很耗时，并且会：

• 不太可能在任何情况下使用您的系统
• 永远不要从您的系统中注销，不要让打开的会话处于无人值守状态。

考虑其他形式的暴力攻击检测和预防。

Answer 3

在登录表单中，Captcha不是一个非常传统的选择。针对暴力破解攻击的传统保护措施似乎是帐户锁定。正如您所说，它有它的缺点，例如，如果您的应用程序容易受到帐户枚举的攻击，那么攻击者可以很容易地执行拒绝服务攻击。