|
|
|
Publicité ' | |||||||||||||||||||||||
14/06/2007, 11h52
|
#1 |
|
Membre confirmé
  Inscription : décembre 2006 Messages : 307  |
Attaque d'un formule d'identification par force brute distribuée
Bonjour,
Je travaille sur un script php dont l'accès se fait par login et mot de passe (sous apache). Je souhaiterai protéger ce script d'attaque par force brute. J'ai commencé par enregistrer le nombre de tentative pour une adresse ip donnée, puis blacklister cette ip en cas de trop nombreuses tentatives. Reste maintenant des attaques avec adresses ip changeantes ... Je n'ai pas vraiment moyen fiable d'identifier de façon unique un attaquant. Comment faire ? Merci de votre aide. |
|
00
|
|
14/06/2007, 11h56
|
#2 |
|
Membre Expert
 Inscription : janvier 2005 Messages : 2 288 |
Un truc tout bete, l'attaque par force brute se basera surement sur un meme login et testera un certain nombre (important) de mots de passes. Tu pourrais aussi logger pour chaque nom d'utilisateur, le nombre de tentatives. Si ca dépasse 3 tu le bloques, et il faut cliquer sur un lien pour recevoir le mot de passe par email.
Ca te permet d'éviter que quelqu'un teste un nombre incalculable de mot de passe pour un login donné. |
|
|
00
|
|
14/06/2007, 11h59
|
#3 |
|
Membre éclairé
 
Inscription : avril 2006 Messages : 403 |
Tu fais comme developpez.com, tu bloque l'accés à ce compte X temps...
Tu peux aussi rajouter une image à lire comme lors de l'inscription sur le forum... Tu peux mettre le champs input en disable, et obligé la saisir avec une sorte de pavé numérique comme sur le site de BNP Paribas... Tu peux mettre un panneau "S'il vous plait, ne me faite pas de mal, j'aime les pingouins"
__________________
deY! |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com