TOTP暴力预防

Question

让我们以Google身份验证为例。每30秒生成一个6位数的代码。每一次随机尝试都有1/1,000,000次成功的机会。

服务器通常会接受代码±30,000，这使每次尝试的机会增加到3/1,000,000。

如果攻击者在200天内每分钟尝试一次代码，那么他/她就有92.5%的机会破坏系统。

像Google/Amazon/Facebook/Twitter/Microsoft这样的大公司有哪些应对措施来缓解这一问题？

Answer 1

自上一次成功以来，帐户上的连续失败应该是一个危险信号。

增加该用户新设备尝试的锁定时间可能会有价值。

如果在第二个因素下，帐户一直被拒绝，那么您可以假定密码已被泄露，并与用户联系。

无论如何，要注意连续的失败。