我管理一个网站,该网站使用带有电子邮件和密码的Firebase身份验证进行登录。
我想做一些蛮力攻击保护。然而,对我来说,使用哪种确切的机制并不重要。然而,重要的是它易于实现和维护。此外,我们的用户并不是特别精通技术,所以我尽量避免2FA。
例如,它可以是一种机制,迫使用户在三次登录失败后验证他们的电子邮件。
因此,我希望能在文档中找到一些帮助。然而,我找不到任何易于使用的内置机制。大多数答案都提到,如果你看到神秘的流量,你可以联系支持。对于特定类型的攻击,也有具体的建议。
有人能为一个简单、有效、易于实现的机制提供一个例子来防范暴力攻击吗?
两年多后,我在文档中找到了这份Firebase安全检查表:https://firebase.google.com/support/guides/security-checklist
它特别提到了收紧登录端点的配额,以防止暴力攻击。
这是一个指南,展示了如何。
https://firebase.google.com/docs/projects/api-keys#apply-限制基于密码的身份验证
如果有人想知道,就把信息留在这里。