내 방법은 현재 사용자 자격 증명이 잘못된 경우 시도를 기록하지만 recaptcha (세 번의 시도가 실패한 후에 표시됨)가 잘못되면 나도 그렇지 않습니다. 5 시도 실패에 나는 IP 주소 (15 분)도로그인 시도 및 처리 방법
또는를 잠그면
이 때 3 회 실패에서 나는reCAPTCHA를
를 표시합니다. 나는 모든 시도를 15 분 동안 지속하도록 설정했다.내가 우려하는 내용은 입니다. 성공했을 때의 시도를 삭제해야한다면, 또는하지 말아야 할 것? (결국 약 15 분입니다.)
보안 요구 사항 및 정책에 따라 다릅니다. 그러나 로그인이 실제로 계정에 침입하려는 분산 된 노력의 일부인 다른 사람이 "로그인 한"경우에도 분산 로그인 노력의 다른 노드는 여전히 다른 암호를 시도하고있는 것으로 간주하십시오. 다른 시도가 실패해도 계정이 잠겨 야합니까? 실제로 누군가가 들어 왔지만 실패 했습니까?
사용자가 (성공적으로) 로그인을 완료 했으므로 작성한 시도를 삭제해야한다고 생각합니다.
나는 절대로 "삭제"하지 않을 것입니다. 누군가에게 해당 계정에 대한 추가 검토를 알리도록 플래그를 설정합니다. 로그를보고 간단한 실수처럼 보이는 경우 무시하십시오. 추세, 일관된 시간 간격, 많은 시도 등을 보면, 나는 어떤 일이 일어나고 있는지 알아내는 행동을 취할 것입니다.
그럼 내 로그인 시도 시스템은 ip-adress에 바인딩됩니다. – John