detectar visiatente unequivocamente

Hola gente, soy nuevo en el foro. Tenia duda de si conocen alguna forma de detectar un visitante (o bot) unequivocamente. Mi objetivo es crear un sistema de login y protegerlo contra ataques de diccionario (mis conocimientos de seguridad informatica y hacking son muy basicos). El script que estoy programando detecta la ip y la session de cada visitante y evita que pueda intentar mas de 8 intentos de login. El problema es que ambos datos me parece que pueden ser falseados por alguien que sepa. ¿conocen algo mas que se pueda hacer?.

Tambien me serviria cualquier consejo sobre como proteger un formulario de registro y uno de login que sepan (acepto links). Por supuesto en el de registro estoy usando un captcha y me parece que tambien voy a implementarlo en el de login aunque puede resultar molesto para el usuario. Tambien corto codigo y escapo toda cadena antes de procesarla para evitar mysql injection y esas cosas.

No les paso el código porque todabia no esta totalmente terminado y es muy largo y no tiene comentarios.

Un ataque de diccionario que cambie IP cada 3 o 4 intentos lo veo altamente improbable... de todas formas podrias bloquear el acceso al login por 10 minutos si se produce eso, entonces alguien que quiera descubrir una contraseña por "fuerza bruta" le va a llevar........ años xD

loading.........


Con tu control de usuario e IP + Captcha tienes suficiente. El usuario no puede usar a gusto y gana su IP, pero puede usar proxy, aun así es LIMITADO.

No te preocupes, manejaste bien la seguridad por ese lado.


connection closed.

Bueno me quedo un poco mas tranquilo. Gracias por su ayuda. salu2.