因为目前的登入系统没有 密码连续输入错误 后的 时间冷却机制
所以可以使用机器人 暴力破解密码法 来偷取帐号
最近利用这种方法来取得帐号的情况变多了
最近案例:
https://imgur.com/a/gMtoDXx
https://www.ptt.cc/bbs/Gossiping/M.1587016080.A.FEA.html
https://www.ptt.cc/bbs/Gossiping/M.1585808577.A.F1F.html
https://www.ptt.cc/bbs/Gossiping/M.1585355997.A.144.html
https://www.ptt.cc/bbs/Gossiping/M.1583539671.A.678.html
因为 Ptt 密码长度有上限,使用者没办法使用长一点的密码加强安全性
如果又不常上站的话,
可能因为一二个礼拜没上线就被暴力破解密码而失去帐号了
我的建议是
从该帐号的错误登入记录去限制 同一个IP 同一天可以登入同一个帐号的次数
来降底 暴力破解法 的成功性
例子:
[04/01/2020 20:39:56 Wed] 36.231.14.178
[04/01/2020 20:39:56 Wed] 36.231.14.178
[04/01/2020 20:39:56 Wed] 36.231.14.178
[04/02/2020 09:24:04 Thu] 74.71.135.109
[04/02/2020 09:24:05 Thu] 74.71.135.109
[04/02/2020 09:24:06 Thu] 74.71.135.109
如果 36.231.14.178 已经同一天在同一个帐号输入密码错误10次了
要等到隔一天才能再尝试输入密码
用这方法来限制 盗帐号的人一天可试几次
来提高 暴力破解密码 的难度和时间成本
而程式设计难度方面
因为只要使用原本就已经有储存的错误登录资料来做验证
所以不会需要大量的工作时间来完成这项安全机制
希望站方在限制新帐号申请的同时
也保护目前帐号持有者的帐号安全性
这个版没有版主了,不知道有没有人会看
所以另外发了一文在 ptt_current