Ich versuche herauszufinden, wie man einen Brute-Force-Angriff auf meiner Website bekämpft. Basierend auf all den Recherchen, die ich gemacht habe, waren die Top-Antworten Account Lockout & Captcha.Verhindern brutaler Gewaltangriffe auf MVC
Wenn ich einen Benutzer aussperren, verweigere ich ihnen Service für x Zeit. Das heißt, wenn ein Angreifer 10 verschiedene Accounts angreift, sperrt er sie alle. Wenn die Zeit abgelaufen ist, sperrt er sie wieder. Im Grunde kann er es behalten und die Nutzer auf unbestimmte Zeit aussperren. Die Benutzer können mich kontaktieren, aber das sind jetzt 10 Tickets, mit denen ich mich befassen müsste, und ich würde diese Arbeit lieber vermeiden, wenn es möglich ist. Was ich also nicht genau verstehe, ist, wie ist das dann nützlich? Der Angreifer wird vielleicht nicht in Betracht gezogen, aber sie werden mir und den Benutzern viel Kummer bereiten.
Wie bekämpfe ich das? IP-Verbot scheint sinnlos, da es ziemlich einfach geändert werden kann.
Offtopic. Keine Programmierfragen (noch). Versuchen Sie stattdessen die Webmaster-Site. –
Dieser Link hat eine tolle Aufschrift zu verschiedenen Methoden, ich habe das Passwort eine Verzögerung vor mir selbst benutzt. https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks – Slicksim