Sono relativamente nuovo alla sicurezza e sto cercando di impedire gli accessi brute force a un'applicazione Web che sto creando.
Dopo aver fatto qualche ricerca, ho deciso di andare a richiedere un captcha dopo che un utente ha tentato troppi accessi entro un determinato periodo di tempo ma non ho trovato molta documentazione sulle migliori pratiche per questo, ma invece un mucchio di semplici esempi e pacchetti open source (che sono riluttante a usare senza una comprensione più profonda di come e perché funzionano).
Ho già impostato le sessioni, quindi stavo pensando di includere l'indirizzo IP nel token di sessione stesso (tutto questo è crittografato) e il controllo incrociato per garantire che solo un certo numero di tentativi di accesso vengano effettuati entro una certa quantità di tempo prima di richiedere un captcha. I miei pensieri erano che questo avrebbe avuto un vantaggio nell'impedire il furto della sessione poiché sarebbe stato possibile verificare che l'indirizzo IP del mittente corrisponda all'IP della sessione.
Questo approccio funzionerebbe o imposterebbe le bandiere rosse?