Предотвращение отказа в обслуживании от блокировки учетных записей пользователей после слишком большого количества попыток

Question

Как правило, блокировка учетных записей пользователей происходит после достаточно неудачных попыток в конкретном временном окне.

Мне интересно, как вы предотвращаете атаки типа «отказ в обслуживании», поскольку злоумышленник, у которого есть имя пользователя, которого он хотел сделать, может просто быстро сделать попытки входа в систему.

Это средство для блокировки счета для только IP-адрес пользователя, который превысил количество попыток входа в систему + окно?

Есть ли лучший способ?

EDIT:

Я не хочу, чтобы мои пользователи решить капчу на каждой попытке входа в систему.

Answer 1

Вы не должны блокировать пользователя по его IP-адресу, потому что, возможно, это настоящий пользователь, который забыл свой пропуск и сделал повторы вручную. Хуже всего то, что реальный пользователь не сможет получить доступ к вашему сервису.

Итак, ваша проблема на самом деле: «Откуда я знаю, что пользователь не робот?».

Один из самых популярных способов борьбы с этим - использовать другой механизм для нескольких попыток входа в систему. Например, Google использует Captcha примерно через 3 испытания, , поэтому автоматический бот застрянет на этом этапе.

Конечно, возможно, чтобы бот прочитал капчу, но это начало.

Вы можете прочитать больше о реализации капчи в их официальном сайте: http://www.captcha.net/

Другие альтернативные идеи здесь: http://econsultancy.com/il/blog/63144-six-alternatives-to-using-the-dreaded-captcha-images