로그인 실패관련 고민이 많네요 정보
로그인 실패관련 고민이 많네요본문
최근에 유저 계정을 탈취하려고 하는지 실사용중인 회원들의 계정으로 로그인 시도가 많이 발생되네요
로그인 성공/실패 내역보면 ip 바꿔가면서 여러아이디를 계속 시도하더라구요
공지랑 메일로 비밀번호 쉬운걸로 하지말고 오래된 비밀번호는 변경하라고 안내는 하고있는데
로그인 실패를 지정한 횟수만큼 실패하면 ip를 차단하자니 ip변경해서 다시 시도하면 그만이고
그렇다고 로그인 실패한 아이디를 일정시간동안 로그인못하게 하자니 실제 해당 아이디 주인이
로그인할때 로그인을 못하는 문제가 발생되고 큰고민이네요
지정한 횟수에 로그인 실패하여 아이디를 일정시간동안 접속을 못하게 하면 이를또 악용할수있는 문제가
그누보드는 개발자도구에서 게시판에 한번이라도 글쓴사용자라면 해당유저의 아이디를 손쉽게 확인이 가능해서 이부분도 걸림돌이고 이문제를 어떻게 해결해야할지 참 난감하네요 그렇다고 저렇게 탈취하려고
계속 시도하는 놈을 방치하자니 나중에 문제될수도있을꺼같고 어떻게 해결해야할지 정답이 보이지가않네요
0
댓글 3개
이메일 인증 또는 휴대폰인증 적용해주세요
또한
bbs/register_form_update.php
파일106라인을 비번복잡성을 갖도록 처리 해주시는걸 추천합니다.
아래 적용해보시기 바랍니다.
if ($is_check_password){
if ($w == '' && !$mb_password)
alert('비밀번호가 넘어오지 않았습니다.');
if ($w == '' && $mb_password != $mb_password_re)
alert('비밀번호가 일치하지 않습니다.');
// 비밀번호 복잡성 검사 20240101WP
if(strlen($mb_password) < 8 ||
!preg_match('/[A-Z]/', $mb_password) ||
!preg_match('/[a-z]/', $mb_password) ||
!preg_match('/[0-9]/', $mb_password) ||
!preg_match('/[\W]/', $mb_password)) {
echo "<script>alert('비밀번호는 8자 이상이며, 대문자, 소문자, 숫자, 특수문자를 포함해야 합니다.'); history.back();</script>";
exit;
}
}
진짜 원래 주인이 로그인하면 로그인이 되고
비번이 몇회나 틀렸음을 안내하도록 하시는 게 좋을 듯 합니다.
(알림이던 쪽지던 팝업창이던...) 그리고 비밀번호 변경 유도 하시면 될 것 같습니다.
깔금한 건 OTP 사용 일수도...라는 1차원적 생각..
공식은 아니지만, 그누 개발자님이 업로드 해주신 것도 고려 해보세요
흠...
