因为目前的登入系统没有 密码连续输入错误 後的 时间冷却机制 所以可以使用机器人 暴力破解密码法 来偷取帐号 最近利用这种方法来取得帐号的情况变多了 最近案例： https://imgur.com/a/gMtoDXx https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1587016080.A.FEA.html https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1585808577.A.F1F.html https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1585355997.A.144.html https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1583539671.A.678.html 因为 Ptt 密码长度有上限，使用者没办法使用长一点的密码加强安全性 如果又不常上站的话， 可能因为一二个礼拜没上线就被暴力破解密码而失去帐号了 我的建议是 从该帐号的错误登入记录去限制 同一个IP 同一天可以登入同一个帐号的次数 来降底 暴力破解法 的成功性 例子： [04/01/2020 20:39:56 Wed] 36.231.14.178 [04/01/2020 20:39:56 Wed] 36.231.14.178 [04/01/2020 20:39:56 Wed] 36.231.14.178 [04/02/2020 09:24:04 Thu] 74.71.135.109 [04/02/2020 09:24:05 Thu] 74.71.135.109 [04/02/2020 09:24:06 Thu] 74.71.135.109 如果 36.231.14.178 已经同一天在同一个帐号输入密码错误10次了 要等到隔一天才能再尝试输入密码 用这方法来限制 盗帐号的人一天可试几次 来提高 暴力破解密码 的难度和时间成本 而程式设计难度方面 因为只要使用原本就已经有储存的错误登录资料来做验证 所以不会需要大量的工作时间来完成这项安全机制 希望站方在限制新帐号申请的同时 也保护目前帐号持有者的帐号安全性 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.165.160.99 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PttCurrent/M.1587171436.A.E3B.html