<div dir="ltr">Intresting point...nice dude.. :)<div><br></div><div>but let us see....4 attempts in 5 sec...and that would be the bot limit....remember, we are not trying to prevent the bot to NOT guess the passwords...we want to minimize the attempts they can make so that password guessing is not possible in real time...</div>
<div><br></div><div>The max attempt is actually limiting the bot to guess only that much password in the "two consecutive password time limit".</div><div><br></div><div>But your point actually brings my attention towards one thing...suppose the time between two attempts is very large...say 5 sec..and the max attempts are also large...say 1000...then the bot can make 999 requests in 4.99 sec...in which case it is a problem...</div>
<div><br></div><div>But if we go by your solution, then for the legit cases, we will get a lot of false positives...here is how....two consecutive attempts are made in 5 sec...so that would flag a brute force, when actually its not...its just two attempts...no need to worry the developers for this small case.....</div>
<div><br></div><div>I think the best we can do it to write a side not in big letters that please keep the max attempts to 1/3 of the two consecutive login attempt time.... :)</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Tue, Sep 3, 2013 at 12:14 PM, Shivam Dixit <span dir="ltr"><<a href="mailto:shivamd001@gmail.com" target="_blank">shivamd001@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hello Rahul,<div><br></div><div>Sorry if I interpreted the brute force condition wrongly. I will explain you my code, and the value of constants used in it is <b>not exactly defined</b> as I don't have any documentation to decide what is correct and what is wrong, abbas will guide us on this. However consider this first :</div>


<div><br></div><div>Consider a scenario in which attacker uses a bot which is set such that it will try to brute force at <b>0th second then 1st second, 2nd second, 3rd second </b>and then <b>wait for 5 seconds</b> and again start from 0th second ,1st , 2nd ... and so on. Essentially bot will try to make <b>4 attempts and then halt for 5 seconds</b> and so on so forth. Will your brute force filter will be able to detect such kind of attacks ?</div>


<div class="gmail_extra"><div class="im"><br><br><div class="gmail_quote">On Tue, Sep 3, 2013 at 9:21 PM, rahul chaudhary <span dir="ltr"><<a href="mailto:rahul300chaudhary400@gmail.com" target="_blank">rahul300chaudhary400@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>The function definition and the comments, both are correct.</div><div><br></div>


<div>It is written that the failed login attempt will be CONSIDERED for an attack, not declared that it IS AN ATTACK. Once marked, another value is checked, i.e the total login attempts. After checking both the values, we can make correct decision.</div>



<div><br></div><div>Note: My method reduces false positives.</div></div><div class="gmail_extra"><br></div></blockquote><div><br></div><div> </div></div></div><div dir="ltr"><div style="color:rgb(136,136,136)">

<font color="#999999" face="verdana, sans-serif"><b>Cheers,</b></font></div><div style="color:rgb(136,136,136)"><font color="#999999" face="verdana, sans-serif"><b>Shivam</b></font></div>

</div>
</div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Regards,</div><div>Rahul Chaudhary</div><div>Ph - 412-519-9634</div>
</div>