Хочется услышать мнение экспертов по следующему вопросу: Имеется форма входа в админ панель сайта. логины и пароли от админ панели имеют десятки пользователей. В целях защиты от хакеров (методом перебора пароля) хочу ограничить количество вводов пароля. возникает вопрос, каким образом идентифицировать пользователя? (ибо большинство из них имеют один и тот же ip). Спасибо.
Поставь значение юзеру last_login_attempt и сверяй (брутфорсить при ограничении 1 пароль в секунду смысла нету)
А еще проще - если пароль введен неверно, делать задержку 1 секунду, предже чем выдавать сообщение об ошибке. Никаких данных нигде хранить не надо.
После 3х неверных попыток входа на сайт нужно будет заполнить капчу, чтобы войти. Зае...ся брутофорсить распознавая капчу (главное сделать ее пострашнее ).