Brute-force атака

Brute-force — это автоматический перебор паролей; разновидность credential stuffing подставляет пары логин-пароль из чужих утечек. Без ограничений атакующий может пробовать тысячи комбинаций.

Как защититься: ограничивайте число попыток (rate limiting), вводите задержки и блокировки после нескольких неудач, добавляйте CAPTCHA и 2FA, отслеживайте подозрительные входы.

# Простое ограничение попыток входа по логину
from collections import defaultdict
attempts = defaultdict(int)

def login(user, pwd):
    if attempts[user] >= 5:
        raise Exception("Слишком много попыток, попробуйте позже")
    if not check_password(user, pwd):
        attempts[user] += 1
        return False
    attempts[user] = 0
    return True