我正在做一个大学项目的networking安全分析。 服务器使用iis的基本authentication,与ssl集成。 我正在考虑暴力攻击的可能性。 我知道好的策略需要复杂的密码,每隔几天更改一次密码等。但是有一个系统,经过5次错误的尝试(例如)阻止帐户1小时,这有助于对这些攻击有更高的安全性。 我问的是如果有这种保护。
谢谢
IIS不; Windows没有。 除非您已经实施了非Windows帐户提供程序,否则基本login尝试会遇到Windows用户帐户,并与Windows密码策略配合使用。
为了防止暴力攻击,如果身份validation失败,请减慢响应速度,长时间难以猜测密码。 强制使用SSL(https)。
嗯…一些循环逻辑在这里进行。 您已经configuration您的网站使用基本身份validation,大概是validation访问该网站的用户,并保留未经身份validation的用户,但它阻止了太多的login尝试? 这不是authentication的目的吗? 允许authentication的实体和不允许未经身份validation的实体?
我误解你的问题(可能是基于它的forms)? 你问是否基本身份validation是IIS中的默认设置? 如果是的话,答案是否定的。