Есть ли какие то метрики для обнаружения брут форс атаки (метрики по которым можно отличить брут форс атаку от обычного ввода пароля)?

Question

[lewko]

Можно либо метрики, либо формулы по которым так же можно определить, что в данный момент идёт брут форс атака

Answer 1

[rPman]

да - количество запросов в секунду на один аккаунт

при обнаружении, аккаунт блокируется на авторизацию (работа ранних авторизаций не блокируется), на почту владельца высылается ссылка с уникальным id для того чтобы легитимный пользователь мог авторизоваться при необходимости

Comments

[lewko]

Понял, спасибо. Это единственная метрика или есть еще ?

Answer 2

[Алексей Панин]

Да полно, так на вскидку накидаю:
1. User-agent - если пытается авторизоваться не браузер, а фиг знает что, то брут.
2. Частота запросов - ни один пользователь не будет 10 раз в секунду вбивать пароль.
3. Сами пароли - если идёт последовательный перебор букв и цифр - логично что это брут.
4. Реферер - надо отслеживать, передает ли клиент ссылку со страницы, с которой пришел и если передает, то корректна ли она.
5. Поддержка JavaScript у клиента. Ну тут не факт конечно, может пользователь параноик и отключил JS.
6. Проверка через JS разрешение экрана, и т.д.

Ну вроде все.
Как вариант можете ещё по IP смотреть. Если скажем у вас тематика направленная на RU сегмент, а лезет кто-то из Китая, то возможно это бот, хотя сейчас многие под VPN или прокси сидят, ну или человек реально сейчас в Китае.