因為目前的登入系統沒有 密碼連續輸入錯誤 後的 時間冷卻機制 所以可以使用機器人 暴力破解密碼法 來偷取帳號 最近利用這種方法來取得帳號的情況變多了 最近案例： https://imgur.com/a/gMtoDXx https://www.ptt.cc/bbs/Gossiping/M.1587016080.A.FEA.html https://www.ptt.cc/bbs/Gossiping/M.1585808577.A.F1F.html https://www.ptt.cc/bbs/Gossiping/M.1585355997.A.144.html https://www.ptt.cc/bbs/Gossiping/M.1583539671.A.678.html 因為 Ptt 密碼長度有上限，使用者沒辦法使用長一點的密碼加強安全性 如果又不常上站的話， 可能因為一二個禮拜沒上線就被暴力破解密碼而失去帳號了 我的建議是 從該帳號的錯誤登入記錄去限制 同一個IP 同一天可以登入同一個帳號的次數 來降底 暴力破解法 的成功性 例子： [04/01/2020 20:39:56 Wed] 36.231.14.178 [04/01/2020 20:39:56 Wed] 36.231.14.178 [04/01/2020 20:39:56 Wed] 36.231.14.178 [04/02/2020 09:24:04 Thu] 74.71.135.109 [04/02/2020 09:24:05 Thu] 74.71.135.109 [04/02/2020 09:24:06 Thu] 74.71.135.109 如果 36.231.14.178 已經同一天在同一個帳號輸入密碼錯誤10次了 要等到隔一天才能再嘗試輸入密碼 用這方法來限制 盜帳號的人一天可試幾次 來提高 暴力破解密碼 的難度和時間成本 而程式設計難度方面 因為只要使用原本就已經有儲存的錯誤登錄資料來做驗證 所以不會需要大量的工作時間來完成這項安全機制 希望站方在限制新帳號申請的同時 也保護目前帳號持有者的帳號安全性 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.160.99 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PttCurrent/M.1587171436.A.E3B.html