哪种登录节流算法

Question

我即将添加一个油门到一个登录页面，以防止它是野蛮的，很容易强迫。

我打算使用漏桶算法在每个用户/IP的基础上实现节流。这被认为是好的，还是有一种不同的算法被认为是这种情况下的最佳实践？

Answer 1

我认为，它应该更加先进，并应考虑到防止监督事务司提出的请求的来源。最常见的情况是多次尝试后的锁定，但这需要一个很好的解锁过程是安全的。许多网站需要一个captcha或第二个因素后，一定数量的尝试。

始终将锁定或节流与强密码策略相结合。攻击者需要根据该策略猜测多久一次？这是设计闭锁/节流机构的一个重要因素。

保护登录的一个好方法可以是：

• 强密码策略
• Captcha在5次尝试之后，某个用户在10分钟内从某个IP中失败了。
• 在来自某个IP的100次尝试失败后，将IP列入黑名单或触发警报。