在最近的一个项目中,我在登录表单上放置了验证码测试,以防止可能的暴力攻击。
其他同事的即时反应是要求删除它,说它不适合那个目的,并且在那个地方看到验证码相当奇怪。
我曾在注册、联系、密码恢复表单等地方看到验证码图片。所以我个人认为在那样的地方也放置验证码并不不适当。当然,这显然会降低可用性,但这只是时间和习惯的问题。
如果没有验证码测试,就必须放置某种黑名单/帐户锁定机制,这也有一些缺点。
对于您来说这是一个好选择吗?我是否有点过度依赖验证码,需要某种群体治疗?
提前致谢。
在最近的一个项目中,我在登录表单上放置了验证码测试,以防止可能的暴力攻击。
其他同事的即时反应是要求删除它,说它不适合那个目的,并且在那个地方看到验证码相当奇怪。
我曾在注册、联系、密码恢复表单等地方看到验证码图片。所以我个人认为在那样的地方也放置验证码并不不适当。当然,这显然会降低可用性,但这只是时间和习惯的问题。
如果没有验证码测试,就必须放置某种黑名单/帐户锁定机制,这也有一些缺点。
对于您来说这是一个好选择吗?我是否有点过度依赖验证码,需要某种群体治疗?
提前致谢。
对于某个用户登录尝试失败的情况,只需添加一个验证码测试。这是当前许多网站所采用的方式(例如所有流行的电子邮件服务),而且更少侵入。
只要攻击者不能破解您的验证码,这种方法完全可以防止暴力攻击。
这并不是道德问题,而是糟糕的可用性。
考虑安全问题:用户会认为登录需要耗费时间,并且会:
考虑其他形式的暴力攻击检测和预防。
验证码在登录表单中并不是很传统的选择。传统的防范暴力攻击的方法似乎是锁定账户。正如你所说,它有缺点,例如,如果你的应用程序容易受到账户枚举攻击,则攻击者可以轻松地执行拒绝服务攻击。
很多流行(最常用)的邮件服务器没有它?!