Jeśli wykluczysz captcha, wypróbuj limity, blokady itp., to tak. Musisz tylko brutalnie wymusić ciąg zwykłego tekstu.
To jednak zajmuje czas - przynajmniej jest ograniczona szybkością, z jaką serwer będzie odpowiadał na żądania logowania. Nawet jeśli programista nie doda żadnych środków, aby zapobiec brute force, sam serwer może przejść przez proces szyfrowania + weryfikacji tak szybko i może obsłużyć tylko tyle równoległych żądań.
To powiedziawszy, dlatego ważne jest, aby
- Jako użytkownik używaj silnego, trudnego do brutalnego wymuszenia hasła
- Jako programista, miej odpowiednie środki, aby zapobiec brutalnemu wymuszaniu procesu logowania
Haszowanie i solenie haseł nie ma na celu ochrony przed osobami, które wymuszają brutalne logowanie (są inne rzeczy, które przed tym chronią). Zamiast tego mają chronić przed potencjalnym naruszeniem samego przechowywania haseł (np. przez kogoś zrzucającego zawartość bazy danych).
Zarówno haszowanie, jak i solenie służą do zmniejszenia szybkości w którym osoba mająca dostęp do przechowywanych haseł może pobrać zwykły ciąg tekstowy, którego potrzebuje, aby przejść przez naturalny proces logowania (do Twojej witryny lub innych witryn , biorąc pod uwagę, że hasła są często współdzielone między witrynami) bez uruchamiania środków bezpieczeństwa chroniących przed atakami brute-force.
