Ticket Hash: 4fa6e38cceea42f01718b4a070f11b08c2292d8d
Title: Loguer les tentatives de connexion à un compte + limiter/ralentir les attaques
Status: Closed Type: Feature_Request
Severity: Severe Priority: Immediate
Subsystem: Resolution: Duplicate
Last Modified: 2019-11-17 17:49:45
Version Found In:
User Comments:

bohwaz added on 2016-06-28 11:29:58:

(text/x-fossil-plain)
Il faudrait rajouter une table pour loguer les tentatives de connexion (et réussites) à un compte afin de permettre de ralentir/limiter les attaques de bruteforce de mot de passe.

L'idée est à chaque tentative de connexion ratée de rallonger le délai avant de pouvoir ré-essayer, et cela par IP.

Voir: [http://timoh6.github.io/2015/05/07/Rate-limiting-web-application-login-attempts.html] et [https://www.reddit.com/r/PHP/comments/4q5nkc/the_php_security_platinum_standard_raising_the/d4qsdn2]

bohwaz added on 2019-11-17 16:49:45:

(text/x-fossil-plain)
Duplicate de [2b48dc7815cae289e52b315832eb3f4bdf9fcf98]