d****g
发帖数: 1542 | 1 block IP行不通, block user agency也行不通。
有什么好的办法吗?
大家都用第三方软件吗?有什么好的可以推荐?
我们的系统老有人想盗取客户信息。
多谢了。 |
k****i
发帖数: 1072 | 2 说说通过什么方法盗用?
如果是用程序bruceforce尝试,可以加上two step verification, reCAPTCHA
verification等。错误登陆次数限定等。
另外数据库中密码必须是one way encrypted的。
登陆失败信息不要泄露任何用户名存在与否的信息。
【在 d****g 的大作中提到】
: block IP行不通, block user agency也行不通。
: 有什么好的办法吗?
: 大家都用第三方软件吗?有什么好的可以推荐?
: 我们的系统老有人想盗取客户信息。
: 多谢了。
|
d****g
发帖数: 1542 | 3 我们有两个level的验证,一是密码,二是安全问题。没用reCAPTCHA,也许加了会好一
点,起码可以减少机器人的尝试。
是不是大家都不会有任何形式的block呀,我们会lock account,先想block,可是没有办
法identify unique的机器,一block就是一大批人,行不通。
【在 k****i 的大作中提到】
: 说说通过什么方法盗用?
: 如果是用程序bruceforce尝试,可以加上two step verification, reCAPTCHA
: verification等。错误登陆次数限定等。
: 另外数据库中密码必须是one way encrypted的。
: 登陆失败信息不要泄露任何用户名存在与否的信息。
|
k****i
发帖数: 1072 | 4 or you can use OAUTH and delegate the authentication to third party.
【在 d****g 的大作中提到】
: 我们有两个level的验证,一是密码,二是安全问题。没用reCAPTCHA,也许加了会好一
: 点,起码可以减少机器人的尝试。
: 是不是大家都不会有任何形式的block呀,我们会lock account,先想block,可是没有办
: 法identify unique的机器,一block就是一大批人,行不通。
|
k****i
发帖数: 1072 | 5 如果你们是金融机构有更高的要求。有条件可以上browser plugin或客户端硬件。
【在 d****g 的大作中提到】
: 我们有两个level的验证,一是密码,二是安全问题。没用reCAPTCHA,也许加了会好一
: 点,起码可以减少机器人的尝试。
: 是不是大家都不会有任何形式的block呀,我们会lock account,先想block,可是没有办
: 法identify unique的机器,一block就是一大批人,行不通。
|
d****g
发帖数: 1542 | 6 thanks, let me check if this will help. How much it would cost us.
【在 k****i 的大作中提到】
: or you can use OAUTH and delegate the authentication to third party.
|
