Discussion :

[Louis-Guillaume Morand]

(désolé aux modos PHP si c'est pas bien placé, je sais pas où le mettre)

Dans le cadre d'un portail perso j'aimerai mettre en place un systeme de compteur pour éviter le brute-force.
pour cela j'ai envisager deux solutions
Solution 1:
a chaque essai raté pour un compte donné, j'incremente son compteur et si compteur > limite, j'insere une heure et pas de login possible pendant 30min. probleme, n'importe qui peut bloquer le compte d'un autre en essayant trois fois, juste pour l'embeter

Solution 2: la meme chose mais là je stocke l'ip du PC client. probleme, dans le cas ou l'ip est une ip d'entreprise, ca me fait tout bloquer :/

existe-t-il un moyen d'avoir une signature unique d'un pc?

[vg33]

Autre solution : coupler les 2. Tu interdis l'accès au compte pour une ip donnée.
Je te conseille de mettre une durée faible d'interdiction de login (du style 3 min). Sur des mdp costauds, ça rend la force brute impossible (il faudrait des siècles pour tester toutes les combinaisons). Tu peux coupler cela avec un système de log et d'alarme mail de l'administrateur en cas de multiples tentatives sur un login.

[Louis-Guillaume Morand]

Autre solution : coupler les 2. Tu interdis l'accès au compte pour une ip donnée.

... dire que ca m'était même pas venu à l'esprit

je pense que ca sera parfait. merci