1. Zuhause
  2. Frage und Antwort
  3. Captcha ist schlechte Praxis? und wie man vor Brute-Force-Angreifer schützt

Captcha ist schlechte Praxis? und wie man vor Brute-Force-Angreifer schützt

2016-06-29 3 views
-2

Ich möchte Ihren Rat zu folgenden erhalten:Captcha ist schlechte Praxis? und wie man vor Brute-Force-Angreifer schützt

Ich mache MVC Framework auf PHP. Und ich muss mich vor Brute-Force-Angreifern schützen. Aus Sicherheitsgründen habe ich ein Feld wie "Authentifizierung erforderlich", bei dem der Benutzer einen Schlüssel eingeben muss, damit er die Web-App weiterhin verwenden kann.

Wenn 2-3 mal mit derselben IP-Adresse gesendet wird, ist die IP für etwa 30 Minuten blockiert. Das ist in Ordnung, aber ich habe gelesen, dass der Hacker die IP für jede 2-3 Erfahrung ändern kann.

Jetzt denke ich, das Captcha auf das Formular zu setzen, für eine bessere Sicherheit, aber dann lese ich das Captcha ist schlechte Idee.

So jetzt weiß ich wirklich nicht, was ich tun kann, um die Web-App vor Brute-Force-Angriff zu schützen.

Also meine Frage ist, wie kann MOST vor Brute-Force-Angriff schützen? Ist Captcha eine gute Idee, um es in Authentifizierungsform oder schlechte Idee zu setzen?

Quelle

2016-06-29 evelikov92

+1

Mehr Hintergrund auf * warum * es ist eine "schlechte Idee"? Du stellst nur die Meinung irgendeines Kerls gegen die Meinung anderer Leute ... – deceze

+0

Wie ist ein captcha schlechte Praxis? Könnten Sie den Artikel verlinken, wenn Sie ihn noch finden können? Ich würde gerne den Grund wissen. – Sj03rs

+0

http://www.webconfs.com/why-using-captchas-on-your-site-is-a-bad-idea-article-62.php und viele von ihnen haben auf Google, wenn Sie "captcha googeln" ist gut oder schlecht ' – evelikov92

Antwort

1

Eine gute Praxis ist CSRF-Schutz für Ihre Formulare. In den meisten popular-Frameworks ist diese Funktionalität in ihre Formularklassen integriert. Es endet mit einer versteckten Eingabe in Ihrem Formular, deren Wert bei jedem Laden der Seite aktualisiert wird und beim Senden des Formulars vom Back-End-Dienst überprüft wird.

Beispiel CSRF-Token von PhalconPHP Rahmen generiert:

<input type="hidden" name="OlHsF0T091MhuDR" value="d7xvFcHKUh8FjWU">

Mehr Infos über CSRF Schutz hier: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

Auch ich bin ziemlich sicher, dass Sie viele Anleitungen Online finden, wie Sie Ihre eigene implementieren Lösung in Ihrem benutzerdefinierten Framework.

Und jetzt über Captchas.

Captchas sind immer eine gute Idee für Registrierung oder Kontaktformulare. Bei der Anmeldung wären Formulare mit Captcha jedoch für die meisten Benutzer frustrierend. Eine gute Praxis, die ich von Bank- oder Zahlungswebsites benutzt habe, ist, dass sie Captcha nach wenigen fehlgeschlagenen Versuchen beim Einloggen zeigen. Beispiel von Skrill diese Praxis mit: https://account.skrill.com/login?locale=en

Ich würde zur Verwendung von Google's Recaptcha Service empfehlen, weil es für Ihren echten Benutzer wirklich einfach und vor allem bietet es Zugänglichkeit für Benutzer mit Behinderungen. Auch Google bietet gute Statistiken und behandelt Bots ziemlich gut.

Quelle

2016-06-29 07:29:08

Verwandte Themen

 Verwandte Themen