Security 登录并强制执行：验证码-vs-睡眠（1）

有什么更好的方法来对抗暴力（比如说在最后5分钟内登录3次以上的尝试失败）以及为什么-显示CAPTHA或使用睡眠（比如说1秒）

---

谢谢。

在我看来，一个好的验证码可能比一秒钟的延迟要好。但它必须是一个好的验证码（意思是很难用机器解决，但人类仍然很容易解决）。即使另一端的机器可以解决您的验证码，也可能需要一秒钟以上的时间才能解决好验证码，除非攻击者拥有超凡的计算能力

这就是说，您可能希望在这一点与CAPTCHA在用户中引起的烦恼之间取得平衡。当然，这些用户错误地输入了三次密码或忘记了密码，希望这只是少数用户（尽管毫无疑问，这种情况会比你希望的更多）

此外，如果你做指数（或任何正确的数学术语）延迟，事情可能会改变。因此，第一个延迟是1秒，第二个是2秒，第三个是4秒，第二个是8秒，等等。这将比只使用1秒延迟更有效

---

当然，没有理由不能同时执行验证码和延迟，如果您担心暴力强迫，我建议您这样做。

这可能是一个更好的问题。这个问题毫无意义。如何更好？给谁？在什么条件下？这是网络版的吗？验证码能在1秒内被强制执行吗？客户端是真的被锁定了，还是一个连接被冻结了？我不明白为什么这个问题我得到了-1。我相信我已经清楚地描述了这种情况：当用户进行了3次不成功的尝试登录到会员区时，对用户来说什么更好。是的，这是网络版的。GOOGLE CAPTHA能在不到1秒的时间内被强制执行吗？我相信答案是不，不是。或者，他们会让它变得更强大。如果你知道的话，如果你能分享你对这个问题的看法，我将不胜感激。我无法证实这是否可行。非常感谢你的回答。请确认（我希望这不是另一个问题）使用睡眠时服务器没有挂起（所以睡眠方法也可以解决这个问题）。1,2,4,8秒（x2）或x1.15 f.e.是个好主意。谢谢你的回答。我的问题得到了-1分，但非常感谢你的回答。