Ho un servizio di accesso che esegue un hash intensivo della CPU più volte quando un utente effettua l'accesso. Per ridurre l'effetto di un DDOS di accesso, c'è qualche tipo di funzione che posso "chiedere" al client da eseguire che sarebbe un po 'pesante per la CPU e verificare il suo risultato (tramite un'operazione leggera), prima di eseguire l'hash della mia password?
Stavo pensando a qualcosa sulla falsariga di una forza bruta - forzando una debole sicurezza (dove io genero una chiave RSA a 128 bit o simile) e dando al client la chiave pubblica e chiedendole di trovare la chiave privata.
È stato fatto qualcosa del genere? questa sarebbe un'implementazione ragionevole? ci sono alternative migliori?