Support #27460
Activer par défaut la restriction de l'accès au compte
Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
19 octobre 2018
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Non
Club:
Non
Description
La fonctionnalité de limitation des attaques par force brute par blocage sur un temps exponentiel des nouvelles tentatives de connexion doit être activée par défaut.
Cas n° 2. - Mot de passe et restriction d'accès au compte Si l'authentification prévoit une restriction de l'accès au compte, la commission considère que : - la taille du mot de passe doit être au minimum de 8 caractères ; et - le mot de passe doit au minimum comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ; et - l'authentification doit faire intervenir une restriction de l'accès au compte, qui doit prendre une ou plusieurs des formes suivantes : - une temporisation d'accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps ; la commission recommande que cette durée soit supérieure à 1 minute après 5 tentatives échouées, et permette de réaliser au maximum 25 tentatives par 24 heures ; et/ou - un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (p. ex. : « captcha ») ; et/ou - un blocage du compte après un nombre d'authentifications échouées consécutives au plus égal à 10.
Demandes liées
Historique
Mis à jour par Frédéric Péters il y a plus de 2 ans
- Statut changé de Nouveau à Fermé
- Planning mis à Non
- Club mis à Non
Rate limiting activé par défaut via #50771.
Mis à jour par Frédéric Péters il y a plus de 2 ans
- Lié à Development #50771: activer par défaut le rate limiting sur les connexions ajouté