У меня есть система входа в систему, требующая имени пользователя и пароля. Я хочу отображать капчу после определенного количества неудачных попыток входа в систему. Как правильно это реализовать? Я читал на этом сайте, и некоторые решения предлагают добавить «количество неудачных попыток» в таблицу пользователей. Однако мне нужно, чтобы неудачные попытки не были привязаны к определенному пользователю, то есть я бы хотел, чтобы капча отображалась независимо от того, существует ли в системе введенное имя пользователя. Можно ли сохранить это в переменной сеанса (я использую PHP)? Если да, то нет ли недостатков в простом добавлении данных по мере необходимости в переменные сеанса? У меня уже есть идентификатор сеанса для каждого посетителя на сайте (вошел в систему или нет), поэтому я могу создать таблицу, которая связывает попытки входа в систему с этим идентификатором сеанса ... какие-либо идеи о том, какой подход является лучшим / наиболее безопасным? Спасибо.
Обновление: из ответов на данный момент, похоже, что идентификатор сеанса - не лучшая идея, поскольку хакер может просто очистить свой кеш (но действительно ли это проблема, потому что это не замедлит грубую силу атаки достаточно, чтобы сделать его бесполезным?). Другой вариант - по IP ... но я сомневаюсь в отношении пользователей интрасети или прокси, поскольку неудачные попытки будут разделены .... Я действительно не могу придумать никаких других методов ... можете ли вы?