Jeff Atwood:
Limiting the number of login attempts per user is security 101. If you don't do this, you're practically setting out a welcome mat for anyone to launch a dictionary attack on your site, an attack that gets statistically more effective every day the more users you attract.
Epännistuneiden kirjautumisten rajoittaminen per käyttäjä on tietysti hyvä, mutta ei riittävä suojaus. Jos murtautujalla on käytössään lista käyttäjätunnuksia, hän voi hajauttaa sanakirjahyökkäyksensä eri käyttäjätunnuksille. IP-tason epäonnistuneiden kirjautumisten rajoittaminen on siis huomattavasti toimivampi ratkaisu. Jos taas murtautujalla on käytössään bottiverkosto ja käyttäjätunnuslista, ei oikein mikään voi pelastaa huonoilta salasanoilta.
www.codinghorror.com/… →