Допустим есть форма входа на сайте. Как сделать защиту от брута лучше?
Я подумал и решил сделать такой вариант:
1) Запоминаем IP юзера
2) После 3-х неверных попыток делаем задержку для входа с этого IP в 30 сек
4) После последующих попыток задержка удваивается
5) Пользователю присылаем уведомление о попытке входа в его аккаунт
Обратите внимание, что задержка активируется именно для этого IP. То есть если злоумышленник пытается подобрать пароль - у него ничего не получится, т.к будут бешеные задержки. В то же время владелец аккаунта спокойно сможет зайти в аккаунт и увидеть, что кто-то пытался войти в аккаунт.
Нормальный вариант? Как думаете? Есть ли способы лучше?
Конечно, в идеале это вход по SMS, но этот вариант пока не рассматривается.
Заранее выражаю огромную благодарность всем, кто поможет!
