Sto per aggiungere un acceleratore a una pagina di accesso per impedire che venga brutalmente forzata.
Stavo per utilizzare l'algoritmo leaky bucket per implementare l'accelerazione su base utente / IP. Questo è considerato OK o c'è un algoritmo diverso che è considerato la migliore pratica per questa situazione?
Credo che dovrebbe essere più avanzato e dovrebbe prendere in considerazione l'origine delle richieste per prevenire il DOS. Il più comune è un blocco dopo un certo numero di tentativi, ma ciò richiede una buona procedura di sblocco che sia sicura. Molti siti richiedono un captcha o un secondo fattore dopo una certa quantità di tentativi.
Combina sempre il blocco o la limitazione con una politica di password complessa. Quante volte un aggressore deve indovinare in base a tale politica? Questo è un fattore importante nella progettazione di un meccanismo di blocco / limitazione.
Un buon approccio per proteggere un accesso potrebbe essere:
Leggi altre domande sui tag brute-force password-cracking