web-dev-qa-db-ja.com

IIS6の基本http認証でブルートフォースを阻止するにはどうすればよいですか?

IISを使用して、誤ったログイン試行を制限し、ある種のタイムアウトを追加して、基本認証がブルートフォース攻撃されるのを防ぐ方法はありますか?

4
Andrew

IIS6の基本認証では、デフォルトでローカルログインポリシーが使用されるため、サーバーでセキュリティポリシーが設定されているものはすべて適用する必要があります。

基本認証はBase64エンコーディングを使用することに注意してください。これはnot暗号化です。資格情報はプレーンテキストで送信されます。サーバーに機密データを格納する場合は、少なくともSSL/TLSを使用する必要があります。

3
Daniel B.