如何解决基于浏览器的密码挑战
我们希望将加密挑战作为必填字段来降低蛮力(我们无法按源IP或任何其他常见元素进行过滤)。
客户端每次发送表单时,都将必须解决cpu密集型挑战(解决它的时间不应超过2秒)(对于不幸的挑战,Captcha不是有效的选择)完全是被动/自动)。
您知道适合该用例的任何一种算法吗?挑战必须是唯一的,并且不能重复使用,以确保每张发送的表格都必须解决自己的挑战。
会要求浏览器蛮力地进行sha + salt哈希并将原始字符串发送给服务器一个选项吗? (我会给客户端使用有效负载的字符串的长度)
解决方法
您正在寻找 JS挑战,例如CloudFlare JavaScript反机器人挑战。
我亲自试验了该技术,因为它看起来是减缓蛮力攻击的一种不错的方法。
请记住,有诸如https://github.com/evyatarmeged/Humanoid这样的解决方案可以绕过诸如上述Cloudflare JS挑战之类的挑战。
我遇到的一个问题是,对于4年前的移动设备来说,台式机面临的挑战通常是相当艰巨的挑战。这意味着台式机可能需要2秒钟的挑战,旧式移动设备可能需要10秒钟的挑战。因此,我们放弃了此解决方案。
为什么要求他们解决密码挑战?可能会提供一个值,并在3秒钟后要求该值,以使该表格有效。
已经有解决方案。在上面提到的项目中,我们使用了 AntiBot Cloud (https://antibot.cloud/en.html)。
通过快速搜索,我还发现:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
