Estoy trabajando en la autenticación y agregando protección de fuerza bruta. No estoy seguro de cómo debo proceder.¿Cómo puedo prevenir los ataques de fuerza bruta?
¿Debo hacer un bloque plano después de 15 intentos fallidos para una determinada dirección IP ... o debería vincularlo a un nombre de usuario? ¿Debería haber un umbral de captcha y un límite absoluto?
¿Hay otros patrones que debería seguir?
Si alguien realmente está probando una fuerza bruta, puede tener un rango de direcciones IP para trabajar. Lo que podrías hacer es poner una demora cada vez mayor después de cada intento, y hacerlo específico para el nombre de usuario. Los CAPTCHA se pueden vencer (en diversos grados), por lo que debes poner un umbral de captcha treshold, un límite de 'slow slow down' y luego simplemente bloquearlo durante una hora.
Tenga en cuenta que la fuerza bruta de esta manera es increíblemente estúpida, así que estaría más preocupado de que el atacante obtenga una copia de las contraseñas de la base de datos mediante una inyección o lo que sea.
Sería útil saber qué tipo de sistema está utilizando. Linux/Windows? ¿Apache? – hafichuk
@hafi He mencionado el sitio web. Estoy creando una biblioteca de autenticación para ejecutar en ASP.Net, por lo que la plataforma depende de quién use mi biblioteca. – Earlz
Estaría más preocupado por un ataque de denegación de servicio. – CodesInChaos