Короткий план защиты /api/login от брутфорса и автоматических атак — с балансом безопасности и удобства.
1) Базовый rate limiting (быстрый выигрыш)
- Per‑IP: ограничение в стиле token bucket, пример: максимум $15$ запросов в минуту с плавным восстановлением.
- Per‑account / per‑username: жестче — например $5$ неудачных попыток в минуту.
- Глобальный порог: если на endpoint приходит всплеск — throttle всей точки доступа (например при > $100$ неудач в 5 мин).
- Хранилище счётчиков: Redis с реализованным sliding window или leaky/token bucket.
2) Adaptive throttling (адаптивная задержка)
- Нарастительная задержка при последовательных неудачах: время ожидания $delay=base\times 2^n$, где $base$ — например $1$ секунда, $n$ — число подряд неудачных попыток.
- Вместо жёсткой пожизненной блокировки использовать временные блокировки с экспоненциальным ростом и уведомлением пользователя.
3) CAPTCHA и прогрессивные вызовы
- Показывать CAPTCHA или challenge только при повышенном риске: после $6$ неудачных попыток, при подозрительном IP‑рейтингe или при нарушениях поведения.
- Использовать невидимые/динамические решения (reCAPTCHA v3, hCaptcha, собственные JS‑челленджи) чтобы минимизировать трение для нормальных пользователей.
- «Запомнить устройство» после успешного прохождения CAPTCHA, чтобы снизить повторные запросы.
4) Поведенческий анализ и риск‑скoring
- Собирайте сигналы: скорость ввода/тайминг клавиатуры, последовательность действий, заголовки UA, наличие/отсутствие выполнения JS, cookie/device fingerprint, геолокация и история IP.
- Формируйте risk score в диапазоне $0$–$100$. При score > $70$ — требовать дополнительную проверку (CAPTCHA, OTP, step‑up auth).
- Отличать ботов (массовые одинаковые паттерны) от реальных пользователей.
5) MFA и step‑up authentication
- Предлагать и стимулировать MFA (push, TOTP, SMS как fallback).
- При подозрительных логинах требовать step‑up (OTP) вместо блокировки аккаунта.
6) Защита учетных записей и потоков восстановления
- Ограничить и throttle endpoint забыли пароль: например максимум $3$ запросa в час на аккаунт/IP.
- Вместо полного lockout — soft lock с возможностью подтверждения по email/OTP и уведомлением.
- Автоматические уведомления пользователю при серии неудачных попыток (email/SMS).
7) Сеть, WAF и репутация IP
- Интегрировать IP‑репутацию, RBL, блокировать известные бот‑пулы.
- Включить WAF/Cloud WAF с правилом для аномалий и JS‑челленджами (Cloudflare, Akamai, F5 и т.п.).
- Черные/белые списки для доверенных корпоративных IP.
8) Honeypots и детектирование сканирования
- Создать медовые учетные записи/эндпоинты, чтобы ловить автоматику.
- Логировать и автоматически отсекать источники, взаимодействующие с honeypots.
9) Логирование, мониторинг и оповещение
- Собрать метрики: число успешных/неуспешных логинов, unique IPs, скорость неудач.
- Настроить алерты: например при увеличении неудачных попыток в 5 раз относительно нормы или абсолютном пороге (всплеск > $5\times$ baseline или > $100$ за 5 минут).
- Интеграция с SIEM/ELK, автоматические playbooks (isolate IP, block subnet, вызов CAPTCHAs).
- Хранить логи достаточное время для расследований, но соблюдать GDPR/законы о приватности.
10) UX и коммуникация
- Объяснять пользователю причину замедления/CAPTCHA и давать понятные шаги восстановления.
- Предоставлять «помни это устройство», «выйти из других сессий», видимость попыток входа.
11) Тестирование и итерация
- Нагрузочное тестирование, red team/pen‑testing, A/B тесты для порогов.
- Постоянная настройка порогов на основе реальной аналитики и false‑positive показателей.
Приоритет внедрения:
1) Rate limiting + Redis counters + базовые уведомления.
2) CAPTCHA при риске + per‑account throttling.
3) Behavioral scoring + adaptive throttling + MFA step‑up.
4) WAF/IP reputation + honeypots + SIEM интеграция.
Пример стартовых значений (настраиваемые): per‑IP refill $15/min$, per‑account failed attempts threshold $5/min$, CAPTCHA after $6$ неудач, temporary lockout after $10$ подряд на $15$ минут, alert при > $100$ неудач в $5$ минутах. Настраивайте по реальной нагрузке и измеряйте UX‑показатели.