Authentication 关于认证的概念

我需要对我的程序进行一些安全验证，我需要回答的与身份验证相关的一件事是“验证所有身份验证决策都已记录，包括线性退避和软锁。”

有人知道线性回退和软锁是什么意思吗

提前谢谢大家,

---

泰国。

我正在研究OWASP ASV。实际上，线性Back-of和soft-lock是身份验证控件，用于防止暴力攻击，还可以帮助抵御DoS。 通过某些算法，可以通过在特定时间内阻塞用户/IP来实现线性备份，并且在每次失败的登录尝试后，该时间呈指数增长，例如，第一个失败的登录块5分钟，第二个失败的登录块25分钟，第三个失败的登录块125分钟，等等。 据我的理解，正如我在一些文章中所看到的，并在一些应用程序（如Oracle WebLogic Soft lock）中实现，IP地址更容易实现（我认为它也有助于使用自动化工具防止DoS和暴力）或者，每次登录尝试失败，并且当某个阈值的失败登录尝试次数（例如5次）永久阻止IP地址时，都会将用户名记录到数据库中。一旦帐户在应用程序运行时被软锁定，它就不会尝试针对后端系统验证帐户凭据，从而防止它被永久锁定。 ASVS验证要求在这方面非常明确。 “验证资源调控器是否到位，以防止垂直（针对所有可能密码测试的单个帐户）和水平暴力（使用相同密码测试的所有帐户，例如“Password1”）。正确的凭据输入不应引起延迟。例如，如果攻击者试图使用单个密码“Password1”强制所有帐户，则每次错误的尝试都会导致线性回退（例如5、25、125、625秒）在允许继续之前，该IP地址的软锁为15分钟。还应设置类似的控制来保护每个帐户，线性回退可配置为在允许重试之前，对用户帐户的软锁为15分钟，而不管源IP地址如何。这两种控制机制s应同时处于活动状态，以防止对角攻击和分布式攻击。”