Сброс пароля с помощью методов грубой силы

Я использую систему сброса пароля php + mysql на основе следующих шагов:

  • вставить форму электронной почты
  • генерировать уникальный хэш
  • прочитать хэш-страницу и авторизовать сброс
  • выберите новый пароль

Какие шаги лучше всего защитить от атаки методом перебора?
Моя логика подсказывает мне, что я должен защищать как форму электронной почты, так и кодовую страницу, которая читает уникальный хэш.
Причиной реализации этого в форме электронной почты является защита кого-либо от повторного использования формы для адреса, который, как он знает, находится в системе, — я думаю, что это довольно логично, но мой вопрос в основном касается страницы для чтения кода.
Должен ли я ограничить эту страницу на основе ip, сеанса или даже общего количества попыток из любой точки за короткий промежуток времени?
Каковы лучшие практики, любая документация по этому вопросу доступна?

0

Решение

Отказ от ответственности: Это может быть не лучшим ответом, но это то, что я практически реализовал.

подумайте, что хакер может сделать на пляже?

1) ему будет неоднократно отправляться строка имени пользователя и пароля.

2) Если его ip заблокирован для большего ввода (точно так же, как ваш телефон, если вы вводите неправильный пароль более 5 раз). Он возобновит атаку по истечении времени блокировки.

3) Если его IP-адрес блокируется, он фактически изменит свой IP-адрес и возобновит атаку.

================================================== =====

Что мы (даже такие системы, как Google / Steam) делаем?

1) Они сохраняют возможность двойной аутентификации.

-> Как и системы OTP для банков. это усложнит взлом хакера. так как он должен требовать вашего OTP на вашем мобильном телефоне тоже, который является динамичным.

2) Блокировка IP будет служить цели:
Мы можем сменить ip в несколько секунд и попробуйте снова зайти на сайт.

3) Блокировка аккаунта.

-> Если пользователь вводит неправильный пароль для многих попыток (скажем, 15), вы можете напрямую заблокировать его учетную запись, пока он сам не аутентифицирует ее (отправив по электронной почте на свой мобильный телефон).

Бонусные очки :

Formore security

1) Обнаружение устройства:

большинство пользователей используют конкретный устройство для входа в офисный компьютер, мобильный телефон, домашний рабочий стол. Если вы получили вход через незнакомое устройство, отправьте пользователю уведомление об этом.

2) Обнаружение недействительных запросов с географической позиции:

некоторые хакеры подделывают ip и географическое местоположение, но они могут забыть изменить его после неудачной попытки, и вы можете использовать это, чтобы узнать больше об атаке и даже использовать географическую блокировку местоположения.

0

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]