en lisant la fin de l’article j’ai pensé à un truc tout con anti
“force brute” mais qui n’est que très peu gênant pour l’utilisation
normale : a chaque essai on double le delai d’attente pour l’essai
suivant.
ainsi les 2 ou 3 essais se passent de manière transparente. et si
qqu’un cherche vraiment son mot de passe, ça lui prendra
éventuellement du temps (à la 10e tentative on est déjà au quart
d’heure si on avait initialisé le délai à 2 secondes) mais ça
restera toujours possible.
Pas bête du tout ! J’ai presque envie d’en faire un plugin …
en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.
ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (à la 10e tentative on est déjà au quart d’heure si on avait
initialisé le délai à 2 secondes) mais ça restera toujours possible.
Après le problème si on filtre sur l’IP (pour eviter un DOS) est qu’on peut
toujours utiliser un botnet comme dit Cyril.
Si on ne filtre pas sur l’IP on peut mettre une limite supérieure; et
ajouter un
CAPTCHA au bout d’un certain nombre de tentatives comme indiqué dans
l’article.
Si on ne filtre pas sur l’IP on peut mettre une limite supérieure;
et ajouter un
CAPTCHA au bout d’un certain nombre de tentatives comme indiqué dans
l’article.
Ca reste de loin la meilleure solution que j’ai pu voir pour résoudre
ce problème. Pour ma part, je laisse 3 essais sans CAPTCHA puis les
essais consécutifs auront besoin d’une validation CAPTCHA. Cette
dernière n’est plus nécessaire dès lors que log-in (avec CAPTCHA) a
réussi.