login - sleep() dopo tot tentativi

[Manuelandro]

Salve.
Ho pensato di utiizzare la funzione sleep() al login per evitare attacchi brute force, quindi
inserirei la funzione ad esempio per 10 sec dopo tot tentativi, 60 sec etc etc.

Il problema però mi si pone nel contare i tentativi del login.

Con le sessioni non posso, perchè nella verifica login è presente il session_regenerate_id() che distruggerebbe di volta in volta la variabile di sessione contatore.

Potrei utilizzare il database salvando l'indirizzo ip, ma in questo modo accumulerei dati a dismisura.

Altre soluzioni?

grazie

[Alhazred]

Io vedo bene la soluzione del db invece.

Per esempio quando uno prova a fare il login salvi IP, data e numero tentativo.
Poi periodicamente cancelli le entry in base alla data (ad esempio cancelli le entry più vecchie di 24 ore), così mantieni la tabella relativamente leggera e soprattutto non rischi che si sommino tentativi fatti in giorni diversi.

[simo22]

Anche io vedo bene quella dei database, ma un bravo hacker, nei suoi attacchi brute force, cambia indirizzo ip di volta in volta. Quindi devi trovare un metodo diverso. Magari usi il nome utente e cancelli le richieste più vecchie di un 30 minuti.
Quindi fai una tabella del tipo

Nomeutente | Numero tentativi | Timestamp

Se già è presente una riga con lo stesso nome utente e se i tentativi sono minori di 5 allora ti aggiorna il timestamp e aumenta il numero tentativi di 1. Poi in metti un codice che ti cancella tutte le richieste più vecchie di 30 minuti e basta.
Dovrebbe essere abbastanza buono come metodo...