Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !
Soit tu fais ça par IP et quelqu'un qui a beaucoup d'IP n'est pas emmerdé (et accessoirement si tu as plusieurs utilisateurs derrière la même IP, il en suffit d'un qui a oublié son mot de passe pour que ça devienne vite un problème), soit tu fais ça par login et là, si je connais ton login, je peux t'empêcher de te loguer.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Ce recaptcha pourrait d’ailleurs n’apparaître qu’après soumission du 6ième formulaire pour cet identifiant (donc après le 5ième échec) sur une autre page avec aucune information personnelle. Pastebin fait un truc similaire : ils te mettent le recaptcha après que tu aies soumis ton texte et recaptcha ne voit pas ton texte.
ce commentaire est sous licence cc by 4 et précédentes
Posté par kp .
Évalué à 2.
Dernière modification le 25 juillet 2018 à 18:22.
Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !
Mais du coup, ça devient super facile d'empêcher les utilisateurs de se connecter (suffit de faire 5 échec sur leur compte toutes les 5 minutes).
Bon, on fait 5 échec par ip ? mais l'attaquant, il a plein (genre plein) d'adresses ip à disposition (botnet, tout ça), du coup, ça n'empêche plus vraiment le bruteforce… => captcha
# reCaptcha à l'identification
Posté par Glandos . Évalué à 6.
Bah, tu sais, il y a reCaptcha pour s'identifier. Donc Google connaît déjà ton login et ton mot de passe.
reCaptcha pour créer un compte, pourquoi pas… Mais pour s'identifier, je ne comprendrais jamais.
[^] # Re: reCaptcha à l'identification
Posté par claudex . Évalué à 3.
Pour éviter les bruteforce sur les login.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: reCaptcha à l'identification
Posté par Glandos . Évalué à 3.
Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !
[^] # Re: reCaptcha à l'identification
Posté par claudex . Évalué à 6.
Soit tu fais ça par IP et quelqu'un qui a beaucoup d'IP n'est pas emmerdé (et accessoirement si tu as plusieurs utilisateurs derrière la même IP, il en suffit d'un qui a oublié son mot de passe pour que ça devienne vite un problème), soit tu fais ça par login et là, si je connais ton login, je peux t'empêcher de te loguer.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: reCaptcha à l'identification
Posté par Glandos . Évalué à 1.
N'appeler le captcha sur l'identifiant qu'à partir du 3ème ou 5ème échec, quelle que soit l'IP ? Ça me semble pas mal.
[^] # Re: reCaptcha à l'identification
Posté par Thomas Debesse (site web personnel) . Évalué à 3. Dernière modification le 29 juillet 2018 à 14:47.
Ce recaptcha pourrait d’ailleurs n’apparaître qu’après soumission du 6ième formulaire pour cet identifiant (donc après le 5ième échec) sur une autre page avec aucune information personnelle. Pastebin fait un truc similaire : ils te mettent le recaptcha après que tu aies soumis ton texte et recaptcha ne voit pas ton texte.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: reCaptcha à l'identification
Posté par kp . Évalué à 2. Dernière modification le 25 juillet 2018 à 18:22.
Mais du coup, ça devient super facile d'empêcher les utilisateurs de se connecter (suffit de faire 5 échec sur leur compte toutes les 5 minutes).
Bon, on fait 5 échec par ip ? mais l'attaquant, il a plein (genre plein) d'adresses ip à disposition (botnet, tout ça), du coup, ça n'empêche plus vraiment le bruteforce… => captcha
edit: grilled :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.