Development #71626
Pour le délai d'attente exponentiel sur trop d'essai de connexion par identifiant/mot de passe, séparer le compteur en deux par ip et par identifiant
Statut:
Nouveau
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
23 novembre 2022
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Non
Description
On a actuellement une clé unique 'username-ip', ça nous protège d'une attaque force brute sur un compte précis depuis une IP précise mais pas tellement d'une attaque par exemple à partir d'un fichier de leak (listes d'email / mot de passe).
Le délai appliqué sera le maximum entre des deux.