Предотвращение несанкционированного доступа CMS

Question

Недавно кто-то попытался сделать попытку взлома пароля моей CMS. Я знаю это, потому что достигнуты максимальные попытки до того, как пароль заблокирован.

Я понимаю, что с этим типом атаки сильные фразы могут помочь уменьшить вероятность взлома. Однако я надеюсь сделать этот шаг еще дальше.

Мой сайт доступен в Интернете для просмотра всеми пользователями. Однако есть одна страница, которую я хотел бы исключить из просмотра пользователями, не находящимися в моей частной сети.

Я думаю о создании метода C# (поскольку я запускаю приложение ASP), что исключает доступ к любым адресам, найденным не в пределах диапазона IP моей частной сети.

Как я могу помочь уменьшить вероятность атаки паролем грубой силы на мой логин CMS?

Answer 1

Я обнаружил, что если у вас есть геометрически возрастающая задержка между попытками неудачного пароля, она работает очень хорошо.

Например, начинайте с 3 секунд и удвоьте его при каждой неудачной попытке пароля: 3,6,18,36,72 и т. Д. Вы очень, очень быстро дойдете до того, что кто-то очень устает ждать 10-20-30 минут между попытками и, по всей вероятности, перейдут на более легкую цель.

В сочетании с очень сложным для угадывания паролем довольно простое решение.

Вы также можете добавить двухфакторную авторизацию с помощью такого инструмента, как authy довольно легко: https://www.twilio.com/authy для еще большей безопасности.