我想对程序员来说,写一个curl程序不停的post登录信息是一件很简单的事情,那么如何防止别人用这种方式来探测用户的真实密码信息呢?
我目前在见到最多的一种方式就是加验证码,不知道有没有其它的方法呢?
1.单用户 登陆错误次数限制 防止对单一用户扫号行为
2.增加token防重放机制 每次post之前必须get一次页面获取新token 增加恶意刷号成本
3.打好日志 对可疑扫号行为做监控 起码记录可疑IP
4.js做加密 定期更换加密算法 可以在加密算法未被破解前保证每次登陆行为 必须经过浏览器渲染 增加扫号成本
5.类似 网银、支付宝 安全控件,在更底层做加密 增加破解成本
6.https?这点不是很确定 但一般来说也会增加一部分 刷号成本
安全是一个木桶效应 坏人永远攻击最脆弱的点
攻防玩的就是成本和平衡 主要还是看你们能投入多少精力
补充一点:
经常关注一下最新的事件,如前一段的个网站的密码泄露事件。
把泄露的用户&密码 文件搞来一份 和自己的会员对比,如果有一致情况 主动提醒用户更换密码。
如果将『恶意登录』定义为『非人肉完成的登录』的话,那么唯一的解决方案就是验证码。
分情况讨论
爆破密码
最好解决了。增加单用户单位时间重试次数
弱密码探测
比较好解决。增加单IP单位时间重试次数。不过要小心类似wap网关这样的来源IP固定的场景
其他非人肉登录
特指那些频率不高的自动登录行为。这个场景下只能验证码了,而且是强制验证码,不是出错N次后出验证码。