Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Attaque d'un formule d'identification par force brute distribuée
Bonjour,
Je travaille sur un script php dont l'accès se fait par login et mot de passe (sous apache). Je souhaiterai protéger ce script d'attaque par force brute.
J'ai commencé par enregistrer le nombre de tentative pour une adresse ip donnée, puis blacklister cette ip en cas de trop nombreuses tentatives.
Reste maintenant des attaques avec adresses ip changeantes ...
Je n'ai pas vraiment moyen fiable d'identifier de façon unique un attaquant.
Comment faire ?
Merci de votre aide.
Un truc tout bete, l'attaque par force brute se basera surement sur un meme login et testera un certain nombre (important) de mots de passes. Tu pourrais aussi logger pour chaque nom d'utilisateur, le nombre de tentatives. Si ca dépasse 3 tu le bloques, et il faut cliquer sur un lien pour recevoir le mot de passe par email.
Ca te permet d'éviter que quelqu'un teste un nombre incalculable de mot de passe pour un login donné.
Tu fais comme developpez.com, tu bloque l'accés à ce compte X temps...
Tu peux aussi rajouter une image à lire comme lors de l'inscription sur le forum...
Tu peux mettre le champs input en disable, et obligé la saisir avec une sorte de pavé numérique comme sur le site de BNP Paribas...
Tu peux mettre un panneau "S'il vous plait, ne me faite pas de mal, j'aime les pingouins"
deY!
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager