¿Alguna vez has oído hablar de los ataques de fuerza bruta?
En un ataque de BruteForce, el atacante básicamente usa un programa para generar muchas contraseñas aleatorias y luego el programa prueba estas contraseñas una por una para iniciar sesión en su sitio web.
Se podría decir que este tipo de ataques de fuerza bruta se pueden detener bloqueando la dirección IP del atacante que realiza tantas solicitudes a sus formularios de inicio de sesión.
- ¿Por qué el DOM virtual de React es mucho más rápido que el DOM real?
- ¿Cuál es el mejor instituto de formación de diseño web en Ludhiana?
- En Django, ¿cómo puedo acceder a la base de datos de una aplicación en un archivo Python diferente para fines de cálculo?
- ¿Cuál es la mejor fuente para aprender el desarrollo web completo con WordPress?
- Desarrollo web [PHP / MySQL]: ¿Linux o Windows?
Estoy de acuerdo. Puede bloquear la dirección IP de un atacante.
Pero, los hackers profesionales saben que cualquiera puede implementar este tipo de seguridad.
Entonces, lo que hacen es cambiar la dirección IP de la solicitud después de cada intento fallido.
Ahora, no puede bloquear cada dirección IP. Las direcciones IP están sujetas a cambios. Al día siguiente, la misma IP podría asignarse a uno de sus CLIENTES más IMPORTANTES.
¿Qué sucederá si bloquea su dirección IP por error?
No podrán iniciar sesión, lo que contará para una experiencia del cliente realmente mala.
Entonces, ¿qué puedes hacer ahora?
Cree una columna adicional en su tabla MySQL y asígnele el nombre algo así como login_attempts.
Incremente este campo en cada intento de inicio de sesión fallido y vuelva a establecerlo en 0 en cada intento de inicio de sesión exitoso.
Una vez que el campo alcanza el valor de 5, deja de aceptar intentos de inicio de sesión.
Ahora, puede crear una página que funcione igual que las páginas de Olvidé mi contraseña. El usuario ingresa su correo electrónico y recibe un enlace a su dirección de correo electrónico. Una vez que el usuario hace clic en este enlace, restablece el conteo de login_attemps a 0 e inmediatamente le pide al usuario que cambie la contraseña.
Espero que esto ayude. 🙂
No dude en dejar un comentario, si tiene alguna pregunta. 🙂