Produits Entr'ouvert » Publik

La fonctionnalité de limitation des attaques par force brute par blocage sur un temps exponentiel des nouvelles tentatives de connexion doit être activée par défaut.

De https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000033926715

Cas n° 2. - Mot de passe et restriction d'accès au compte

Si l'authentification prévoit une restriction de l'accès au compte, la commission considère que :

- la taille du mot de passe doit être au minimum de 8 caractères ; et
- le mot de passe doit au minimum comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ; et
- l'authentification doit faire intervenir une restriction de l'accès au compte, qui doit prendre une ou plusieurs des formes suivantes :
- une temporisation d'accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps ; la commission recommande que cette durée soit supérieure à 1 minute après 5 tentatives échouées, et permette de réaliser au maximum 25 tentatives par 24 heures ; et/ou
- un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (p. ex. : « captcha ») ; et/ou
- un blocage du compte après un nombre d'authentifications échouées consécutives au plus égal à 10.