Limitación de velocidad en la aplicación móvil

1

Hemos implementado en nuestra aplicación móvil un acceso que limita la velocidad después de 5 intentos fallidos a través de servicios basados en web (API). Bloqueamos la cuenta durante 30 minutos si se han realizado los cinco intentos.

Mi preocupación es sobre los clientes que están usando la aplicación. ¿Qué pasa si alguien intentó ejecutar un script que intentará forzar de manera bruta y evitar que los clientes usen la aplicación (30 minutos)?

¿Hay alguna solución que pueda aplicarse en este caso ... ya que Captcha no lo será porque es una aplicación móvil?

    
pregunta Petr 14.09.2017 - 13:56
fuente

1 respuesta

1

Puede utilizar Prueba de trabajo para limitar la velocidad a la que los programas de fuerza bruta pueden intentar iniciar sesión . Esta es una alternativa fácil de usar para CAPTCHA

La prueba de trabajo requiere que el cliente calcule los factores primos de un número muy grande, y esto lleva tiempo

Enviar el número grande al cliente. Si no proporcionan ninguna respuesta, inmediatamente NO. Si proporcionan una respuesta, es rápido verificar en el servidor. Si pasan, deje que continúe el intento de inicio de sesión

También puede usar una cookie de dispositivo para omitir los bloqueos de cuenta. Por ejemplo, si el cliente C se ha autenticado correctamente para el usuario U, almacene una cookie HMAC'd en el cliente C. Tener esta cookie permite que el cliente omita los bloqueos de cuenta para ese nombre de usuario.

    
respondido por el Neil McGuigan 14.09.2017 - 20:00
fuente

Lea otras preguntas en las etiquetas