Discussion :

[mkdir]

Bonjour.

Réalisant un site nécessitant la connexion de membres (pseudonyme/mot de passe), je me pose la question de la meilleure pratique quant à la gestion des tentatives frauduleuses à ce niveau.

1/ Ne pas limiter le nombre de tentatives de connexions infructueuses, permet à un script de boucler à sa guise pour tester moults combinaisons de mots de passe, jusqu'à trouver le bon.

2/ Limiter le nombre de tentatives en bloquant le compte après un nombre défini d'erreurs : ne prévient pas d'acte de malveillance (une personne peu s'amuser ainsi à bloquer le compte de membre par multiples essais volontaires infructueux, surtout si la liste des pseudonyme peut figurer publiquement sur le site).

3/ Au bout de xx essais infructueux, imposer un délai avant de procéder à un nouvel essai (là aussi on peut imaginer des scripts en boucle qui pourraient ainsi bloquer temporaire l'accès au compte d'un tiers).

Quelle est la règle de l'art en la matière?

Merci d'avance pour vos précisions.

[pasdechances]

bonjour,
je te proposerai une 4eme solution, le captcha.
Pratique contre les script, et pas besoin de bloquer le compte de l'utilisateur.

[benjani13]

Les Captchas peuvent être efficace pour un site web mais il faut garder en tête qu'ils ne sont pas inviolables. Les robots s'améliorent tous le temps et finissent par réussir à outrepasser les Captcha, c'est pour ça qu'on voit régulièrement des évolutions dans ceux ci (captcha plus difficile, reconnaissance d'images, click anti robot). On retrouve souvent des Captcha fait à la main qui sont très facilement bypassable (car on trouve le code du Captcha dans la page ou dans le nom de l'image affichée).

Les options 2 et 3 sont biens. Tout dépend de la criticité de l'application. Il peut être compréhensible de bloquer un compte au moindre risque pour une application critique, sinon un simple temps d'attente imposé est suffisant. Dans les deux cas il est utile d'y associer une remonter d'alerte. Une entrée dans un log de l'application pour tracer les tentatives suspecte et un mail automatique à l'utilisateur en question pour le prévenir.

Un mécanisme supplémentaire qui serait intéressant à implémenter est un délai fixe entre chaque tentative de connexion. Ne serait-ce que quelques secondes d'attente obligatoire entre deux tentatives de connexion permet de réduire drastiquement les possibilité d'attaque par dictionnaire (de fait cela prendrai un temps beaucoup trop grand de tester un grand nombre de mots de passe).

[pasdechances]

C'est sur, mais les coût de développement ne sont pas les même.
Un captcha (celui de google par exemple) peut être implémenter dans le site en moins de 10min montre en main.
Certes je l'admet les autres solution ne sont pas plus longues a être développées mais on y passera légèrement plus de temps.
Ces solutions sont aussi moins "user friendly".

Et si on est aventurier qu'on a pas froid au yeux et au porte monnaie, on a des solution bien plus vorace .
Contrôle par double voir triple check, plugin d'identification pour un scan rétinien ou digital,...

Apres si ton site est ciblé tout les jours par des attaques, la solution la plus efficace est le double check => login + sms ou Google Authenticator(je l'ai découvert il y a quelque mois).

[benjani13]

Il faut savoir évaluer son niveau de risque et la nature des menaces pour mettre en place le niveau de défense correspondant