[Sécurité] Mise en place d'un anti-brute force [Résolu]

Louis-Guillaume Morand · 17/07/2007, 23h23

(désolé aux modos PHP si c'est pas bien placé, je sais pas où le mettre)

Dans le cadre d'un portail perso j'aimerai mettre en place un systeme de compteur pour éviter le brute-force.
pour cela j'ai envisager deux solutions
Solution 1:
a chaque essai raté pour un compte donné, j'incremente son compteur et si compteur > limite, j'insere une heure et pas de login possible pendant 30min. probleme, n'importe qui peut bloquer le compte d'un autre en essayant trois fois, juste pour l'embeter

Solution 2: la meme chose mais là je stocke l'ip du PC client. probleme, dans le cas ou l'ip est une ip d'entreprise, ca me fait tout bloquer :/

existe-t-il un moyen d'avoir une signature unique d'un pc?

vg33 · 17/07/2007, 23h29

Autre solution : coupler les 2. Tu interdis l'accès au compte pour une ip donnée.
Je te conseille de mettre une durée faible d'interdiction de login (du style 3 min). Sur des mdp costauds, ça rend la force brute impossible (il faudrait des siècles pour tester toutes les combinaisons). Tu peux coupler cela avec un système de log et d'alarme mail de l'administrateur en cas de multiples tentatives sur un login.

Louis-Guillaume Morand · 18/07/2007, 09h20

Citation:

Envoyé par vg33

Autre solution : coupler les 2. Tu interdis l'accès au compte pour une ip donnée.

... dire que ca m'était même pas venu à l'esprit

je pense que ca sera parfait. merci

17/07/2007, 23h23	#1
Louis-Guillaume Morand Rédacteur Louis-Guillaume MORAND Consultant @ Microsoft Inscription : mars 2003 Messages : 10 713 Détails du profil Informations personnelles : Nom : Louis-Guillaume MORAND Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Consultant @ Microsoft Secteur : Conseil Informations forums : Inscription : mars 2003 Messages : 10 713 Points : 15 946 Points : 15 946	[Sécurité] Mise en place d'un anti-brute force (désolé aux modos PHP si c'est pas bien placé, je sais pas où le mettre) Dans le cadre d'un portail perso j'aimerai mettre en place un systeme de compteur pour éviter le brute-force. pour cela j'ai envisager deux solutions Solution 1: a chaque essai raté pour un compte donné, j'incremente son compteur et si compteur > limite, j'insere une heure et pas de login possible pendant 30min. probleme, n'importe qui peut bloquer le compte d'un autre en essayant trois fois, juste pour l'embeter Solution 2: la meme chose mais là je stocke l'ip du PC client. probleme, dans le cas ou l'ip est une ip d'entreprise, ca me fait tout bloquer :/ existe-t-il un moyen d'avoir une signature unique d'un pc? __________________ moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume et je n'aide pas ceux qui écorchent mon nom
	00

17/07/2007, 23h29	#2
vg33 Membre Expert Inscription : janvier 2005 Messages : 1 249 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2005 Messages : 1 249 Points : 1 417 Points : 1 417	Autre solution : coupler les 2. Tu interdis l'accès au compte pour une ip donnée. Je te conseille de mettre une durée faible d'interdiction de login (du style 3 min). Sur des mdp costauds, ça rend la force brute impossible (il faudrait des siècles pour tester toutes les combinaisons). Tu peux coupler cela avec un système de log et d'alarme mail de l'administrateur en cas de multiples tentatives sur un login.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email