Brute-Force Protection | Wie?

Registriere dich, um den vollen Funktionsumfang des Forums ausnutzen zu können.
  • Hey,


    für ein Login-System suche ich nach einer Lösung um Brute-Force Attacken zu unterbinden (neben Software wie z.Bsp. Fail2Ban).

    Ich habe mir dafür mal APCu angesehen, habe das aber nicht gänzlich hinbekommen, deshalb frage ich mal hier.

    Wie kann man das am besten gut blocken?




    MfG

  • Hier ist mal eine möglichkeit

    Du kannst z.B. bei jedem versuchten Login die IP mit schreiben, diese dann in einer Datenbank speichern.

    IP Versuch1 Versuch2 Versuch3
    XXX.XXX.XXX.XXX 7432897489237 32424242 4234234234

    so in etwa kann deine Datenbank Tabelle aussehen, kannst aber auch gerne selber dir da was ausdenken :). (Example)

    Nun kannst du jedes mal gucken ob alle 3 versuche in unter einer halben stunde passiert sind. Wenn ja wird diese IP von Login für X Minuten ausgeschlossen.


    Zusätzlich kannst du ja im Account mit zählen lassen wie viele auf einander folgende fehlerhaften Anmeldungen es gibt und bei einer gewissen zahl wir der User darüber Informiert das der Login in seinen Account mehr X mal fehlerhaft war und das er ggf. sein Passwort ändern sollte.


    Dies ist zwar etwas auf wendig schütz den User aber eigentlich, und wenn du z.B. bei den auf einander folgende fehlerhaften Anmeldungen 10 angibst kann er selber auch etwas tun.


    Denke das ist eine sinnvolle Idee, wenn du gerne noch eine Idee hören möchtest schreib mir einfach, helfe dir gerne bei dem Problem.