No quiero particularmente implementar Captcha en mi formulario de inicio de sesión para un sitio web. Pero ya tengo un mecanismo de bloqueo.
¿Cuál es la mejor manera de protegerse de los ataques de Fuerza Bruta?
Esto es lo que estaba pensando:
-
Implemente un bloqueo, así que después de 30 inicios de sesión fallidos, bloqueo la cuenta del cliente. 30 es un número arbitrario, pero creo que el ataque de fuerza bruta no va a adivinar dentro de 30, y cualquier cliente que lo intente 30 veces probablemente tendrá que llamar para restablecer la contraseña de todos modos.
-
¿O debería simplemente ignorar la fuerza bruta, y tal vez implementarla en un firewall, hay un firewall que pueda detectar y detener los ataques de fuerza bruta?
Creo que la opción 2 es mejor porque la fuerza bruta no agotará los recursos de mi servidor si las solicitudes no la alcanzan.