Существуют ли общепринятые тактики защиты приложений Django от такого рода атак?
Дросселирование принудительных атак входа в Django
Ответ 1
django-axes - это существующее приложение для обнаружения неудачных попыток входа в систему. Существует также более общий django-ratelimit.
Ответ 2
Вы можете:
- Следите за неудачными попытками входа в систему и блокируйте злоумышленника после 3 попыток.
- Если вы не хотите блокировать, вы можете зарегистрировать его и представить CAPTCHA, чтобы сделать его более сложным в будущих попытках.
- Вы также можете увеличить время между попытками входа после неудачной попытки кэширования. Например, 10 секунд, 30 секунд, 1 минута, 5 минут и т.д. Это очень портит удовольствие для злоумышленника.
- Конечно, выберите безопасный пароль, так как это убережет гантели.
Ответ 3
Я предпочитаю django-defender. Он запускается как вилка django-axes с redis в качестве backend для хранения попыток входа в систему с ошибками, заблокированных пользователей, IP-адресов, поэтому он намного быстрее, чем django-оси.