Project

General

Profile

Support #27460

Activer par défaut la restriction de l'accès au compte

Added by Mikaël Ates 6 months ago. Updated 6 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
19 Oct 2018
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No
Demande du club utilisateur:

Description

La fonctionnalité de limitation des attaques par force brute par blocage sur un temps exponentiel des nouvelles tentatives de connexion doit être activée par défaut.

De https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000033926715

Cas n° 2. - Mot de passe et restriction d'accès au compte

Si l'authentification prévoit une restriction de l'accès au compte, la commission considère que :

- la taille du mot de passe doit être au minimum de 8 caractères ; et
- le mot de passe doit au minimum comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ; et
- l'authentification doit faire intervenir une restriction de l'accès au compte, qui doit prendre une ou plusieurs des formes suivantes :
- une temporisation d'accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps ; la commission recommande que cette durée soit supérieure à 1 minute après 5 tentatives échouées, et permette de réaliser au maximum 25 tentatives par 24 heures ; et/ou
- un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (p. ex. : « captcha ») ; et/ou
- un blocage du compte après un nombre d'authentifications échouées consécutives au plus égal à 10.

History

#1 Updated by Frédéric Péters 6 months ago

  • Target version set to 2019

#2 Updated by Pierre Cros 6 months ago

  • Target version deleted (2019)

Also available in: Atom PDF