Ticket UUID: 4fa6e38cceea42f01718b4a070f11b08c2292d8d
Title: Loguer les tentatives de connexion à un compte + limiter/ralentir les attaques
Status: Open Type: Feature_Request
Severity: Severe Priority:
Subsystem: Resolution:
Last Modified: 2016-06-28 13:29:58
Version Found In:
User Comments:
bohwaz added on 2016-06-28 11:29:58:
Il faudrait rajouter une table pour loguer les tentatives de connexion (et réussites) à un compte afin de permettre de ralentir/limiter les attaques de bruteforce de mot de passe.

L'idée est à chaque tentative de connexion ratée de rallonger le délai avant de pouvoir ré-essayer, et cela par IP.

Voir: [http://timoh6.github.io/2015/05/07/Rate-limiting-web-application-login-attempts.html] et [https://www.reddit.com/r/PHP/comments/4q5nkc/the_php_security_platinum_standard_raising_the/d4qsdn2]