用假盐来阻止蛮力攻击

处理php登录脚本，并希望避免Captcha，并质疑问题。 我正在考虑实施ID＃，ID和密码登录提示。

所有用户已经有了一个分配给他们的状态许可证号码，我正在考虑将这些号码用于双因素身份验证。 如果他们输入的许可证号码和登录ID不符，他们将收到假盐，并自动拒绝密码检查。

对ID和密码的所有蛮力尝试都会失败，但机器人不知道为什么。 在得到真正的盐之前，机器人必须将真实的ID＃与真实ID相匹配，并有机会攻击密码。 我看到的唯一漏洞是如果他们知道其中一个用户，并且发现了他们的许可证号码。 但是，如果他们不知道身份证，他们仍然没有机会。 经过5次失败的尝试登录真实的ID和ID＃和密码错误的帐户将锁定，否则我会延误进程。

这个想法值得追求吗？我提出的对策如何？ 思考？

链接地址: http://www.djcxy.com/p/3695.html

上一篇: Using a fake salt to thwart brute force attacks

下一篇: Storage choice for login Brute Force countermeasures