问防止凭据填充的安全ASP.NET核心

EN

我建议对redis使用速度检查，这基本上只是对某些IP的节流。此外，一些欺诈者也会轮转IP，你也可以发现登录时发生的频率更高(比如10倍于常模)，并开始屏蔽该短窗口的所有登录。我写了一篇博客文章，详细介绍了上面的一些内容。代码都在节点中，但我确实给出了一些高级示例，说明我们如何在预认知(我当前的任务)中停止欺诈。在接下来的几个月里，我将继续建立在代码的基础上，因为我会在我的帐户接管系列中发布更多的代码。

https://medium.com/precognitive/a-naive-demo-on-how-to-stop-credential-stuffing-attacks-2c8b8111286a

IP节流是一个很好的第一步，但不幸的是，它不会阻止大量现代凭证填充攻击。在过去的几年里，精明的证书填充者的策略变得越来越复杂。

要真正有效地阻止凭据填充，您需要查看的不仅仅是IP。攻击者将旋转IP和用户代理，他们还会欺骗用户代理值.一种有效的防御策略基于对不规范的IP和用户代理活动的实时分析，再加上增强专用性的附加组件(例如基于浏览器或基于移动应用程序的指纹)，从而识别和阻止攻击。

我写了一篇博客文章，内容涉及2020年的两次凭据填充攻击，我称之为攻击A(低复杂度)和攻击B(高复杂性)。

攻击A是一个低复杂度的例子，它具有以下特点：

• ~15万次登录尝试
• 一个独立的用户代理(一个广泛使用的Chrome版本)
• ~1 500个不同的IP地址(85%来自大多数应用程序用户居住的美国)

攻击B是一个高复杂度的例子，它具有以下特点：

• ~60 000次登录尝试
• ~20,000种不同的用户代理
• ~5,000个不同的IP地址(>95%来自美国，>99%来自美国和加拿大)

您可以看到，在攻击A时，每个IP地址大约有100次登录尝试。IP速率限制在这里可能是有效的，取决于限制。

然而，在攻击B时，每个IP地址只有12次登录尝试。很难说IP速率限制在这种情况下是有效的。

下面是我的文章，提供了更多的深度数据：https://blog.castle.io/how-effective-is-castle-against-credential-stuffing/

完全披露:我为城堡工作，我们提供一个基于API的产品，以防止凭据填充。