Throttling attacchi brute force login in Django

Question

Esistono tattiche generalmente accettate per proteggere le applicazioni di Django contro questo tipo di attacco?

Answer 1

django-axes è un'app esistente per rilevare tentativi di accesso non riusciti. C'è anche un più generale django-ratelimit.

Answer 2

È possibile:

• Tenere traccia di tutti i tentativi di login falliti e bloccare l'attaccante dopo 3 tentativi.
• Se non si desidera bloccare, è possibile registrarlo e presentare un CAPTCHA per renderlo più difficile nei tentativi futuri.
• È inoltre possibile aumentare il tempo tra i tentativi di accesso dopo ogni tentativo fallito. Ad esempio, 10 secondi, 30 secondi, 1 minuto, 5 minuti, eccetera. Questo rovinerà il divertimento abbastanza rapidamente per l'aggressore.
• Ovviamente, scegli una password sicura che manterrà l'autore dell'attacco.

Answer 3

Preferisco django-defender. Inizia come fork django-fork con redis come backend per archiviare i tentativi di login falliti, gli utenti bloccati, gli IP quindi molto più veloci degli assi del django.