@秒灵儿
2年前 提问
1个回答
如何防止失效的身份认证
Anna艳娜
2年前
防止失效的身份认证:
在可能的情况下,实现多因素身份验证,以防止自动、凭证填充、暴力破解和被盗凭据再利用攻击。
执行弱密码检查,例如测试新或变更的密码,以纠正“排名前10000个弱密码”列表。
修改密码复杂度策略,密码由大/小写字母+特殊字符+数字组成,长度大于8位,定期90天修改密码。
确认注册、凭据恢复和API路径,通过对所有输出结果使用相同的消息,用以抵御账户枚举攻击。
限制或逐渐延迟失败的登录尝试。记录所有失败信息并在凭据填充、暴力破解或其他攻击被检测时提醒管理员。
不要使用发送或部署默认的凭证,特别是管理员用户。