Bonjour.
Réalisant un site nécessitant la connexion de membres (pseudonyme/mot de passe), je me pose la question de la meilleure pratique quant à la gestion des tentatives frauduleuses à ce niveau.
1/ Ne pas limiter le nombre de tentatives de connexions infructueuses, permet à un script de boucler à sa guise pour tester moults combinaisons de mots de passe, jusqu'à trouver le bon.
2/ Limiter le nombre de tentatives en bloquant le compte après un nombre défini d'erreurs : ne prévient pas d'acte de malveillance (une personne peu s'amuser ainsi à bloquer le compte de membre par multiples essais volontaires infructueux, surtout si la liste des pseudonyme peut figurer publiquement sur le site).
3/ Au bout de xx essais infructueux, imposer un délai avant de procéder à un nouvel essai (là aussi on peut imaginer des scripts en boucle qui pourraient ainsi bloquer temporaire l'accès au compte d'un tiers).
Quelle est la règle de l'art en la matière?
Merci d'avance pour vos précisions.
Partager