Вообще глупенькие сообщения в теме..
1. Префикс-постфикс. Что это? Это тот же логин, только длиннее. Был user_login, с префиксом станет hrenov_prefix_user_login. В чем защита? Она имеет смысл только в случае, если пользователь использует один и тот же логин на все серверах (включая сервак, с которого слили базу и она есть у брутера). При таком раскладе с вероятностью 80% этот лапух (пользователь) будет использовать и пароль тот же. Гемороить пользователей префиксами-постфиксами - бред сивой кобылы, а не защита.
2. Капча. Уже давно владельцы ресурсов, уважающие своих пользователей отказались от нее полностью, или частично (примеры - яндекс, контакт. Просит ввести капчу, когда слишком много запросов с ip пользователя).
Защита. Ну самый, на мой взгляд, веселый - это рандомно менять названия полей в форме, а соответствия названий хранить в базе на сервере с привязкой к сессии. Например можно случайным образом называть поле login как password, а пароль логином соответственно
В такие моменты жалею, что не могу увидеть лицо школьника, натужно пытающегося разобраться как же так)))
Добавлено через 3 минуты
Да и еще: отказываться от авторизации на сайте из-за того что сам не в состоянии обеспечить безопасность пользователям - это глупо, и уж тем более такой подход нельзя называть хорошим, или правильным решением!
UPD:
Добавлено через 2 часа 2 минуты
На самом деле реальная защита - это блокировать доступ к сайту для определенного ip. И прокси тут брутера не сильно спасут. Например ставлю я ограничение скажем... 3 запроса в секунду с одного ip - это бан на 5 секунд. 4й запрос увеличивает время бана вдвое и так далее. В результате все прокси будут в бане. Ну а если он начнет брутить по 2 запроса в секунду.. считаем:
Предположим есть 100 прокси (что для юного дарования, скачавшего самую быструю брутилку, уже не так мало), пренебрежем их пингом и получим 200 паролей в секунду.
Подбор по словарю отброшу сразу, у меня стоит ограничение на пароль такое что должны быть буквы разных регистров и числа. ( слов, подобных SomEWoRd23 в словарях нету )
Теперь считаем надежность паролей:
1 символ = 62 варианта (a-z + A-Z + 0-9) = меньше секунды.
2 символа = 62^2 (во второй степени) это 3844 - это около 19 секунд
...
6 символов = 62^6 = 56 800 235 584 - это займет у нашего брутера около... 9 лет.
Предположим у брутера 1000 уникальных IP... ну да, это чуть меньше года... 10к IP - месяц!!
Какая еще защита от брута нужна?
![[Изображение: 04.03.12_11:08:42_0a1e6638.png]](http://screenshot.ru/screen/04.03.12_11:08:42_0a1e6638.png)
![[Изображение: 04.03.12_11:09:41_2625aecf.png]](http://screenshot.ru/screen/04.03.12_11:09:41_2625aecf.png)
