Captcha's zijn af te raden, tenzij zelf gemaakt, want anders volgen derden bijvoorbeeld uw klanten vaak buiten uw medeweten en hun medeweten, niet alleen zonder u daarvoor te betalen, daarbij vaak de westerse wetgeving te schenden over u rug, dus uw medeplichtig daaraan te maken. dan hebben we het nog niet gehad over hoe 'klantvriendelijk' het mag heten om zulks met uw bezoekers te doen. verder mag het een relatief sterke hulp zijn in het tegengaan van geautomatiseerde login aanvallen.
VPN/ proxy blokkades op een open mesh als het internet is niet alleen relatief ineffectief maar ook dom te noemen, men is nogal wat capaciteit kwijt met real time controle scripts en anders wel met up to date houden van adres lijsten die in ieder geval niet volledig te noemen zijn. bovendien beveiligd men door discriminatie op een open mesh, strikt genomen, waarmee key strategic policy in handen gebruiker ligt en niet aanbieder.
javascript kan erg handig zijn maar hoeft niet, via verschillende technieken zijn ook javascript implementaties te volgen waarvan curl er één is die nogal interessante mogelijkheden hiertoe biedt. bovendien maakt men security meer afhankelijk van client side, wat vaak ook juridisch spelletje is en onprofessionaliteit laat zien aan werkelijke sharkies. dan hebben we het nog niet gehad over de immer nog brakke javascript implementaties waar men de gebruiker nu toe dwingt, vraag is nu of de gebruiker weet hoe dit af te dichten of alleen maar uiterst betrouwbare sites met javascript engine aan te bezoeken, men dwingt dus onder noemer security gebruiker naar relatief meer onveiligheid/vulnerable en gaat ervan uit dat standaard huis tuin en keuken gebruikers dit dan weten (wat niet zo is)
wat momenteel beter blijft werken is twee- of drie traps authenticatie, mits niet met onversleutelde mail (bijv. met pgp) en niet mailen over hetzelfde backbone netwerk waar de server website communicatie over aanbiedt. twee traps kan ook zijn dubbel wachtwoord of e-mail, gebruikersnaam, wachtwoord combinatie, mits juist verwerkt en gecontroleerd op de server met hashing techniek e-mail versleutelen bijv.
ook handig is om ip's en routes bij gebruikers op te slaan en bij alles wat afwijkt van de standaard, inlogpogingen limiteren en notificatie naar gebruiker. meta data als user-agents opslaan wil ook erg sterk zijn, snel ook voor aanvalsdetectie. wel afhankelijk van user-agent, client side, alleen veel veiliger dan javascript, sterker en laat je gebruiker zien dat je beveiliging serieus neemt.
te snel inlogpogingen limiteren leidt tot denial of service vulnerability, zelfde als real time vpn/proxy checks en zelfs vpn/proxy ip checks via lijsten (denk ook aan automatische update van die lijsten).
vaak wordt ook niet hoofdzakelijk beoogd toegang tot een netwerk te verkrijgen, maar via denial of service informatie in te winnen of af te leiden, zoals waarschijnlijk in akamai geval. men denkt bij inlog pogingen altijd 'ze proberen via deze poging binnen te komen, dus brute force inloggen', wat regelmatig een valkuil blijkt tegenwoordig bij de werkelijke professional.