брутфорс — логин PHP — зачем использовать CAPTCHA?
Я прочитал несколько статей о том, как разработать форму входа в PHP, которая обеспечивает защиту от атак методом перебора, и многие рекомендуют использовать CAPTCHA. Но почему?
Если сценарий написан для блокировки пользователя после x неудачных попыток в течение периода, скажем, 15 минут, какое преимущество дает CAPTCHA?
Если аккаунт заблокирован, разве этого недостаточно?
Решение
Если Вы блокируете учетные записи после нескольких неудачных попыток входа в систему, тогда этого будет достаточно — да.
Это «если» является ключевой частью здесь — CAPTCHA и блокировка учетной записи с ограниченной скоростью являются альтернативами друг другу, вы не используете их обоих одновременно.
Если вы используете вызов CAPTCHA, это будет раздражать некоторых ваших пользователей, поскольку требует от них дополнительных усилий.
Если вы используете ограничение скорости, законный пользователь может быть заблокирован во время атаки на его учетную запись.
Вам просто нужно выбрать тот, который вы (или ваши пользователи) предпочитаете.
Другие решения
В большинстве случаев более эффективно использовать CAPTCHA на этапе регистрации, чтобы избежать регистрации и входа в систему ботов.
CAPTCHA не столько взламывает данные для входа в систему, сколько о спаме и ботах.
Открытые форумы особенно уязвимы, так как простой скрипт может загрузить страницу, заполнить форму мусором (или интеллектуальным контентом) и отправить, снова и снова и снова …
но также становится бесконечно труднее заставить этот скрипт работать с CAPTCHA, и поэтому рассылка спама почти полностью прекращается, так как люди вынуждены делать это вручную.