sleep() bij mislukte inlogpogingen
Beste collega's,
Ik heb een nieuw inlogsysteem dat bij mislukte inlogpogingen een toenemende vertraging geeft met sleep() en uiteindelijk een inlogpoging weigert. Prototype:
Maar ik vraag me af: hoe schaalbaar is deze oplossing? Bij een toenemend aantal mislukte inlogpogingen (bijvoorbeeld een DOS-aanval) staat een toenemend aantal processen steeds langer in de wacht. Zijn er misschien betere oplossingen?
Ik heb een nieuw inlogsysteem dat bij mislukte inlogpogingen een toenemende vertraging geeft met sleep() en uiteindelijk een inlogpoging weigert. Prototype:
Code (php)
Maar ik vraag me af: hoe schaalbaar is deze oplossing? Bij een toenemend aantal mislukte inlogpogingen (bijvoorbeeld een DOS-aanval) staat een toenemend aantal processen steeds langer in de wacht. Zijn er misschien betere oplossingen?
PHP hulp
26/04/2024 14:11:14Reshad F
01/02/2013 13:11:19Ik heb op php.net eens gelezen over
Dit schijnt veel effectiever te zijn om bruteforcing tegen te gaan. er zat ook een link naar een interessant artikeltje wat misschien leuk is om te lezen.
http://www.faqs.org/rfcs/rfc2617.html
Het handige hieraan is dat hackers zelfs niet willen beginnen aan bruteforcing op je website omdat ze steeds de pagina moeten downloaden om een password uit te proberen.
Quote:
HTTP Digest Access Authentication
Dit schijnt veel effectiever te zijn om bruteforcing tegen te gaan. er zat ook een link naar een interessant artikeltje wat misschien leuk is om te lezen.
http://www.faqs.org/rfcs/rfc2617.html
Het handige hieraan is dat hackers zelfs niet willen beginnen aan bruteforcing op je website omdat ze steeds de pagina moeten downloaden om een password uit te proberen.