Citat:
Originally posted by msjoedin@Jan 25 2008, 10:31
Tänk så här då.. Om jag gör ett script som skickar in alla möjliga användarnamn och de mest vanliga lösenorden. Dvs. jag försöker inte logga in med samma användarnamn hela tiden. Då har jag 5 försök per användarnamn och timma. Har man i stället en 5 sek. delay vid varje felaktigt försök så blir det mycket svårare, eller?
// Mats
|
Jo, visst tar det längre tid, i praktiken finns det risk för att dom legitima användarna tycker det är drygt att vänta bara för att dom skriv in fel lösenord en gång, dagen samhälle är mkt stressat :-)
Man kan ju fördröja på olika sätt, men om man använder vanliga sleep-delayer på en webserver förblir anslutningen/processen öppen på servern, så ifall dom matar på med många användare samtidigt från olika datorer blir det lättare att utföra en denial of service attack om man har en sådan typ av delay.
Det kanske är bättre att lägga till en begränsning för antalet felaktiga inloggningar per IP-nr, då kan "hackarna" bara ha 5 försök/IP-nr, oavsett vilket användarnamn dom försökte med. Sen kan man ha en whitelist för dom IP-nr som ska ha lösare restriktioner.