Andere Antwortende haben bereits einige wertvolle Mittel angeboten, mit denen eine Website den Missbrauch von Maßnahmen zum Erraten von Passwörtern verhindern kann, um Personen auszuschließen. Hier ist noch eines: IP-Whitelisting.
@Skynet schlug bereits eine schwarze Liste vor, aber da Angreifer heutzutage in der Lage sind, Botnets mit einer Größe von weit über einer Million Geräten zu erstellen, ist dies möglicherweise nicht sehr wirksam gegen einen findigen Angreifer. (Beachten Sie, dass ein Angreifer ein solches Botnetz nicht selbst erstellen müsste: Viele Cybercrooks vermieten den Zugriff auf ihre Bots.)
Während eine schwarze Liste eine Verteidigung gegen einen weniger mächtigen Angreifer bieten könnte, wäre dies ein Angriff Bei einer Skalierung auf eine große Anzahl von IP-Adressen besteht eine Alternative darin, den Zugriff auf IP-Adressen zu beschränken, die zuvor für die erfolgreiche Anmeldung beim Konto verwendet wurden.
Natürlich ist weiterhin Vorsicht geboten genommen: Wenn ein Angreifer Zugriff auf ein Gerät hat, das eine IP-Adresse auf der Whitelist verwendet, sollte eine Website sicherstellen, dass der Angreifer dadurch nicht der Brute-Force-Erkennung entgeht. Da ein Benutzer möglicherweise eine dynamische IP-Adresse hat oder aus einem anderen Grund versucht, sich von einer neuen IP-Adresse aus anzumelden, muss es einen alternativen Mechanismus geben, mit dem der Benutzer die Anmeldeblockierung umgehen kann, z :
- Durch Eingabe eines CAPTCHA (obwohl gewarnt werden sollte: Ein entschlossener Angreifer könnte Leute einstellen, um diese zu einem überraschend niedrigen Preis zu lösen);
- Klicken Sie auf einen Link in einer E-Mail (Sie sollten auch einige Überprüfungen einbauen, um zu verhindern, dass diese missbraucht werden, um die Posteingänge von Personen zu überfluten). oder
- Verwenden einer Zwei-Faktor-Authentifizierung, um zu beweisen, dass sie der rechtmäßige Eigentümer des Kontos sind.