gpt4 book ai didi

Firebase 用户枚举攻击

转载 作者:行者123 更新时间:2023-12-04 02:08:01 27 4
gpt4 key购买 nike

我正在寻找有关 Firebase 防止暴力密码猜测的更多详细信息。

在此thread , Kato 说“我们按来源限制请求以减轻任何蛮力方法”,可以提供更多信息吗?特别是:

  • 节流何时开始,如果在任何时候客户端被完全阻止一段时间等等?

  • 我们能否在安全规则中指定失败尝试次数,之后客户端将被锁定一段时间?

我想在我的应用程序上切换到只有数字的“小键盘”密码,并且担心枚举攻击。我需要确定确保密码安全的最少位数。

谢谢!

最佳答案

Frank 在评论中回答了,所以我只是添加两个可能有用的附加信息:

  • Firebase 会阻止使用少于 6 个字符的密码(请参阅 FirebaseAuthWeakPasswordException)
  • 当在特定设备上检测到异常事件时,将抛出特定错误代码 (ERROR_TOO_MANY_REQUESTS)。因此,您可以轻松地进行一些测试以查看错误触发的速度。我刚刚做了,3-4 次不正确的密码尝试触发了错误并阻止了来 self 设备的请求。

来自文档: auth/too-many-requests如果请求因异常事件而被设备阻止,则抛出。延迟一段时间后重试将解除阻塞。

关于Firebase 用户枚举攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41602468/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com