zirondi
commented
3 years ago Então, como usamos tokens para a autenticação do usuário, não sei exatamente como isso seria implementado no back ou front. Geralmente ataques de força bruta podem ser evitados também pela hospedagem da aplicação.
Ponto importante, mas abre um espaço para um estudo muito maior sobre o que fazer em relação a esse tipo de ataque.
Ajuste baseado nos problemas encontrados no teste de segurança:
Princípios da autenticação, utilizando IDs únicos para sessão, usuários e dispositivo/IP. Um mesmo ID não poderia estar em mais de uma sessão ao mesmo tempo.
Exemplo: aplicações que não permitem utilizar várias abas ou vários devices ao mesmo tempo. Como o livro sugeriu, aplicando políticas simples de segurança podemos gerenciar melhor os riscos.