关于开放用户名、uid、邮箱等轮询登录的安全问题

建议改进登录机制，建立用户登录错误统计系统：

1、登录错误次数达到一定数目时，强制该用户通过“找回密码”功能修改新密码后才能登录，或者保持原来正常用户的cookie有效，提醒用户修改密码；

2、改进同一ip登录两个用户名错误后一定时间内禁止该IP访问登录程序，或激活随机认证问题，例如：页面出现不同颜色的字符表，某一颜色的字符有哪一些？出现几个随机计算公式，填写正确答案等；

3、改进注册或修改密码程序的密码判断正则，禁止有规律的简单密码，123456，aabbcc等，强制需要由数字、小写英文字母、大写英文字母、标点符号等组成。

附图为近期密码错误的轮询记录，部分简单密码账户已经沦陷{:soso_e118:}

相同反馈已有收集。楼主装上这个官方插件试下效果吧https://discuz.dismall.com/forum. ... ead&tid=2299778

好，谢谢

谢谢分享