Mi piacerebbe mostrare un CAPTCHA per prevenire i tentativi di forzatura bruta, ma stavo pensando di mostrarlo ogni volta che un utente fallisce per una combinazione nome utente / password non valida dopo X tentativi, indipendentemente dal fatto che quell'utente esista nel database o no .
Il pensiero era che se un utente esistesse, allora tutto ciò che un utente malintenzionato dovrebbe fare è registrare quali combinazioni di nome utente (dopo X tentativi) hanno visualizzato CAPTCHA vs no (e quindi in base a ciò, posso ottenere tutte le e -mails fuori dal database).
Quindi quindi mostrerei il captcha dopo x tentativi a prescindere.
ora, per tenerne traccia, suppongo che mi servirebbe una tabella di database che salvi letteralmente qualunque input l'utente abbia digitato, ma sembra un po 'eccessivo?
che qualcuno possa provare [email protected] in un paese e in un altro, ecc., e quindi una persona lo rovina perché tutti possano vederlo.
Potrei anche provarlo con [email protected] + indirizzo IP (quindi solo se hai provato X volte con un nome utente / password errato dal tuo IP corrente che mostrerebbe il CAPTCHA).
Pensi che dovrei memorizzare INDIRIZZO IP e usarlo come base per mostrare un CAPTCHA per un nome utente / password non valido? O dovrei semplicemente attenermi al testo usato universalmente per un certo periodo di tempo.
Grazie!