Предотвращение нападения грубой силы на MVC

Question

Я пытаюсь понять, как бороться с грубой силой на моем сайте. Основываясь на всех исследованиях, я сделал верхние ответы: Account Lockout & Captcha.

Если я заблокирую пользователя, то я откажу им в обслуживании за х раз. Это означает, что если атакующий атакует 10 разных учетных записей, он заблокирует их всех. Затем, когда время закончится, он снова закроет их. В основном он может держать на нем и держать пользователей заблокированы на неопределенный срок. Пользователи могут связаться со мной, но теперь у меня будет 10 билетов, с которыми мне придется иметь дело, и я предпочел бы избежать этой работы, если это возможно. Так что я точно не понимаю, как это тогда полезно? Злоумышленник может не учитывать, но они вызовут у меня и пользователей много горя.

Как я могу бороться с этим? Запрет Ip кажется бессмысленным, поскольку его можно легко изменить.

Answer 1

Не отображать идентификатор пользователя, используемый для публичного входа в систему. Имейте отдельный идентификатор дисплея. Например, они могут войти в систему со своим адресом электронной почты и выбрать другое имя для отображения. Если у злоумышленника нет идентификатора пользователя, он не может повторить попытки входа в систему и заблокировать другого пользователя.

Answer 2

Вы можете использовать PoliteCaptcha, в котором отображается только код, если JavaScript отключен (как в большинстве автоматических скриптов) или когда первая попытка отправки не удалась. Это делает captcha невидимым для большинства ваших обычных пользователей, но PITA для спамеров.

Answer 3

Вы можете добавить инкрементную задержку, которая удваивается после каждой неудачной попытки входа в систему, после нескольких попыток входа в систему задержка слишком велика для работы грубой силы (например, после 20 попыток задержка составляет 6 дней).

[HttpPost] 
public async Task<ActionResult> Login(LoginViewModel viewModel, string returnUrl) 
{ 
    // incremental delay to prevent brute force attacks 
    int incrementalDelay; 
    if (HttpContext.Application[Request.UserHostAddress] != null) 
    { 
     // wait for delay if there is one 
     incrementalDelay = (int)HttpContext.Application[Request.UserHostAddress]; 
     await Task.Delay(incrementalDelay * 1000); 
    } 

    if (!ModelState.IsValid) 
     return View(); 

    // authenticate user 
    var user = _userService.Authenticate(viewModel.Username, viewModel.Password); 

    if (user == null) 
    { 
     // login failed 

     // increment the delay on failed login attempts 
     if (HttpContext.Application[Request.UserHostAddress] == null) 
     { 
      incrementalDelay = 1; 
     } 
     else 
     { 
      incrementalDelay = (int)HttpContext.Application[Request.UserHostAddress] * 2; 
     } 
     HttpContext.Application[Request.UserHostAddress] = incrementalDelay; 

     // return view with error 
     ModelState.AddModelError("", "The user name or password provided is incorrect."); 
     return View(); 
    } 

    // login success 

    // reset incremental delay on successful login 
    if (HttpContext.Application[Request.UserHostAddress] != null) 
    { 
     HttpContext.Application.Remove(Request.UserHostAddress); 
    } 

    // set authentication cookie 
    _formsAuthenticationService.SetAuthCookie(
     user.Username, 
     viewModel.KeepMeLoggedIn, 
     null); 

    // redirect to returnUrl 
    return Redirect(returnUrl); 
} 

Там больше деталей на this post