Как/чем защитить форму логина от брутфорса?

Question

[Растишка]

Есть самописный SaaS сервис, как (или с помощью какого пэка) правильно реализовать защиту от брутфорса при логине?

Comments

[Дмитрий]

Капча, csrf token

Answer 1

[Шамуэй]

reCAPTCHA

Comments

[Растишка]

Рекапча которая инвизибл разве помогает от брутфорса?

[alex-1917]

Растишка, конечно!
тольок почему сразу инвизибл?)))
Шамуэй ни слова про инвизибл не сказал, вы зачем-то притянули мертвого осла за уши и вопрошаете.. ахаха

[edward_freedom]

Растишка, а при чем тут "инвизибл "?

Answer 2

[wagoodoogoo]

не прошёл логин? следующий запрос после sleep(секунд)

Comments

[Растишка]

И таки образом зная логины замораживаем вход для пользователей.
Прекрасно!

[alex-1917]

Растишка, нет, скрипт делает sleep для текущей сессии, все просто как божий день, вы бы это, того самого, почитали бы основы что ли, атопукаетевлужу...

[ThunderCat]

alex-1917, то есть для бота с брутефорсом, который чхал на сессии задержки не будет, а для Васи который ошибся при вводе пароля будет задержка... Ну чо, логично, нефиг пароль забывать...

[Растишка]

alex-1917, Я когда то давно в модемные времена писал брутфорсер, который при большой задержке считал пароль не верным и шел дальше.
Сам основы почитай.

[alex-1917]

ThunderCat,

а для Васи который ошибся при вводе пароля будет задержка... Ну чо, логично, нефиг пароль забывать...

да мож так, а мож и эдак, чо сам использую, о том и верещу...
пока никто не жалуется, тьфу*3, и 1500 клиентов аналогично не жалуются
а ТС, как и подавляющее большинство начинашек, чрезвычайно озабочен преждевременной оптимизацией - в этих страданиях ейных тут ему никто не поможет
у ТС и ник говорящий, ахахах

[wagoodoogoo]

Растишка, 3 попытки, потом замораживаем сначала на пару сек, потом на десяток, IP в чёрный список. Для Васи это вообще не критично, а перебор теряет смысл.

Answer 3

[Developer]

При неверном вводе делать задержку:
- для логина
- для IP-адреса
Плюс добавить капчу, если был неверный ввод

Comments

[alex-1917]

рекапчи2 за глаза.
ведь суть рекапчи2 - при КАЖДОМ обращений к форме идет запрос в рекапчу и тут уже включаются мощные нейромеханизмы гугла, я таких ботов еще не встречал, которому бы удалось пройти рекапчу2, не теуровни финансов)))
что касается упоротых лисов, долбящих с клавиатуры, то и они получают по епалу от гугла, судя по статистике сервера, форма с одного айпи редко когда заполняется форма чаще чем в ОДИН ЧАС!!)))

[edward_freedom]

alex-1917, cptch.net гугл капчу решает как семечки

Answer 4

[Антон Шаманов]

задержкой по времени между попытками ввода при заходе с одного ip

Answer 5

[Артём Мишин]

csrf token, количество неверных попыток входа