Я провожу анализ безопасности сети для университетского проекта. Серверы используют базовую аутентификацию iis, интегрированную с ssl. Я сейчас рассматриваю возможность атаки методом перебора. Я знаю, что для хорошей политики требуются сложные пароли, пароли меняются каждые несколько дней и т. Д., Но у меня есть система, которая после 5 неправильных попыток (например) блокирует учетную запись на 1 час, это помогает повысить защиту от этих атак. . Я спрашиваю, есть ли такая защита.
Спасибо
Для защиты от атак методом перебора, замедления реакции в случае неудачной аутентификации, использования длинных трудно угадываемых паролей. Обязательно использовать SSL (https).
IIS не работает; Windows делает. Если вы не реализовали поставщика учетных записей, отличных от Windows, попытка базового входа попадает в учетную запись пользователя Windows и работает вместе с политикой паролей Windows.
Хммм ... здесь происходит некоторая круговая логика. Вы настроили свой веб-сайт для использования базовой аутентификации, предположительно для аутентификации пользователей, получающих доступ к сайту, и для предотвращения доступа неаутентифицированных пользователей, но это блокирует слишком много попыток входа в систему? Разве это не цель аутентификации? Разрешить аутентифицированные объекты и запретить неаутентифицированные объекты?
Не понимаю ли я ваш вопрос (возможно, по форме)? Вы спрашиваете, является ли обычная проверка подлинности настройкой по умолчанию в IIS? Если да, то ответ отрицательный.