제한된 로그인 시도

Question

로그인 시스템을 만들고 잘못된 사용자 이름과 비밀번호가 주어지면 몇 분 동안 로그인을 시도하는 사람을 차단하여 4 번 말할 수 있습니다.

IP에서 차단하는 방법을 알고 있지만 예를 들어 블록을 만들 수 있습니다. 내가 온다면 학교 전체가. 이제 사용자가 액세스를 차단하기 위해 입력하는 사용자 이름을 사용할 수는 있지만 입력 한 사용자 이름이 데이터베이스에 존재하지 않을 가능성이 있습니다.

내 질문 : 존재하지 않는 사용자 이름을 입력 한 사람을 위해 해당 블록을 만들려면 어떻게해야합니까? 그리고 어떤 종류의 데이터베이스 테이블이 필요할까요?

또한 세션과 쿠키를 사용할 가능성을 찾았지만 사람들이 세션과 쿠키를 제거하기 위해 만들 수있는 보안 문제가 있습니다.

누군가가 나를 도울 수 있다면, 고맙겠습니다.

Answer 1

나는 당신이 자신의 사용자 이름을 잊어 버린 가난한 남편보다는 무차별 공격에서 벗어나려고 노력하고 있다고 생각합니다.

어려운 CAPTCHA 메커니즘을 구현하여 대부분의 자동화 된 공격을 막을 수 있습니다. 특정 IP 주소의 시도 횟수와 그 연속 시도 간격을 동시에 유지합니다. 공격으로 CAPTCHA를 해결할 수 있다면 몇 분 안에 비정상적인 활동을 감지하고 전체 IP에 대한 액세스를 차단할 수 있습니다. 잠시 동안 전체 조직을 오프라인으로 만들지 만, 심각한 공격으로 인해 정전을 경험하지 못하게 할 수 있습니다.

대부분의 무차별 공격 시스템이 모든 요청에 ​​대해 새로운 쿠키를 생성하고 생성하므로 세션 및 쿠키가 도움이되지 않습니다.