我已经给了一些其他开发人员的代码,他们已经创建了一些登录安全策略。例如,如果您尝试使用数据库中存在的用户名登录,它将开始记录失败的登录尝试次数。然后,在达到3次登录尝试后,它会在日志中添加另一个条目,但会将位1添加到LockedOut。
你们认为这是一个好的安全政策吗?难道不会有人试图进入,只是尝试大量的随机用户名,并强行锁定每个人的帐户?这似乎是一种糟糕的安全哲学。
我认为更好的安全程序是根据IP表锁定任何进行了3次尝试的人,该表跟踪各种用户尝试,并在大约30分钟内过期,以防止DDoS。
你们是如何设计登录安全的?下面是这个开发人员所做的基本工作:
if username is in dat