Bonjour, voila je recherche les bonnes pratiques sur la mise en place d’un OTP .
le cas est le suivant en cas d'oubli de mot de passe donc je rentre des informations nom prénom et ville dans un formulaire et je choisis de recevoir soit un lien d’activation par mail soit un OTP via SMS.
j’essaie de trouver les bonnes pratiques pour limiter les risques liées a cette implémentation.
par exemple les éléméent suivant sont les implémentaiton effecives
OTP sur 6 chiffre avec anumérique
limiter le temps de validité du jeton 60 secondes
limiter le nombre de tentative de saisi de l’otp au bout de 5 saisie bloquer 15 min la saisie
Donc j'aimerais connaitre votre avis si vous voyez d’autres aspect à ajouter n’hésitez pas à partager
Maintenant une question me préoccupe faut il limiter la demande d’envoi otp ? Disons que je rempli le formulaire et que je clique sur envoyé OTP SMS et que je ne saisis pas cette OTP et que je refais la manip autant de fois que je veux n'y a til pas un risque de DDOS ou autre chose que j'aurais oublié
Merci pour votre aide