Quale algoritmo per la limitazione dell'accesso

4

Sto per aggiungere un acceleratore a una pagina di accesso per impedire che venga brutalmente forzata.

Stavo per utilizzare l'algoritmo leaky bucket per implementare l'accelerazione su base utente / IP. Questo è considerato OK o c'è un algoritmo diverso che è considerato la migliore pratica per questa situazione?

    
posta Jeremy French 12.01.2017 - 10:54
fonte

1 risposta

3

Credo che dovrebbe essere più avanzato e dovrebbe prendere in considerazione l'origine delle richieste per prevenire il DOS. Il più comune è un blocco dopo un certo numero di tentativi, ma ciò richiede una buona procedura di sblocco che sia sicura. Molti siti richiedono un captcha o un secondo fattore dopo una certa quantità di tentativi.

Combina sempre il blocco o la limitazione con una politica di password complessa. Quante volte un aggressore deve indovinare in base a tale politica? Questo è un fattore importante nella progettazione di un meccanismo di blocco / limitazione.

Un buon approccio per proteggere un accesso potrebbe essere:

  • Criterio password strong
  • Captcha dopo 5 tentativi falliti di un determinato utente da un determinato IP entro 10 minuti.
  • IP della lista nera o attivazione di un avviso dopo 100 tentativi falliti da un determinato IP.
risposta data 12.01.2017 - 11:34
fonte

Leggi altre domande sui tag