Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Sécurité] Force brut - comment s'en défaire et en faire?
J'en ai entendu parler il n'y a pas longtemps du coup je me pose des questions sur l'avenir de mon site.
Comment faire pour ne pas laisser faire de la force brut?
Au delà de la protection je me suis aussi demandé comment créer un bot qui executerais de la force brut sur mon site pour que je puisse tester sa résistance?
Merci
essayer de trouver un mot de passe par la force brute, ça revient à tester toutes les combinaisons possibles pour un ensemble donné de caractères...
http://www.developpez.net/forums/sho...d.php?t=271850
Pour s'en protéger, il suffit par exemple soit d'imposer un délai entre deux essais, soit bloquer le compte au bout de X essais faux...
Merci pour les réponses, je vais voir comment les mettres en oeuvre.
En ce qui concerne la deuxième partie de ma question, comment puis-je fabrique moi même un bot?
@Titoumimi
Est-ce que tu as un exemple de code pour mettre un délai entre 2 essais?
Quelle fonction utilises-tu?
Merci !
on suppose que ton pass est stoqué en DB.Envoyé par mathieugamin
En cas d'erreur, tu va stoquer le timestamp dans ta base. à la prochaine tentative, tu va comparer la différence entre le timestamp stoqué et le timestamp courrant, et à ce moment là tester ou non le passord.
Mais bien sûr !
Merci, c'est en fait tout simple !
Ben je vais essayer ça tout de suite !
Merci
Tu pourrais aussi doublé le délai d'attente entre chaque tentative.
effectivement je n'y avais pas pensé... pas bête si ce n'est que ça peut embêter le vrai détenteur du compte. Moi je loggue l'IP si erreur. Au bout de 3 logs je bloque l'accès pour cette IP pendant X temps... Ce n'est pas parfait mais bon. Je me demande lequel des 2 systèmes est le mieux ?
À mon sens, le vrai détenteur du compte ne s'amusera pas à essayer 20 mots de passe, il va normalement utiliser la procédure de récupération de mot de passe.
-> oui mais s'il passe juste après le hacker, il ne pourra pas se connecter à son compte car celui-ci l'aura bloqué...À mon sens, le vrai détenteur du compte ne s'amusera pas à essayer 20 mots de passe, il va normalement utiliser la procédure de récupération de mot de passe.
Pour ma part, je suis plus favorable au blocage par IP, éventuellement combinée au blocage de compte, mais rien n'est parfait dans le domaine. Juste pour rappel, les attaques par force brute ne sont pas aussi fréquentes que les attaques par social engineering, sans compter que meilleur est le mot de passe, plus l'attaque par force brute est inefficace.
Il est donc, à mon avis, plus intéressant de lutter pour avoir des mots de passe "sérieux" que pour éviter toutes les attaques qui seront statistiquement trop longues (peu de sites permettent par le débit de faire plus de 50 tentatives par seconde. Si tu as des mots de passe suffisamment complexes (au moins 8 chiffres + lettres Maj + Lettres Min + Caractères spéciaux)), le nombre de combinaisons à tester pour trouver un mot de passe (en supposant qu'un nom d'utilisateur soit connu) avoisine les 1,7 millions de milliards de possibilités et donc, même en considérant 1000000 de tentatives par seconde, tu peux attendre 53000 années pour être certain que le hacker ait trouvé ton mot de passe. Je ne chercherai donc pas à calculer si tu ajoutes quelques caractères aux mots de passe.
Le seul site qui sera vraiment sécurisé est un site sur un serveur qui n'est pas connecté physiquement et éteint.
Exactement, c'est le principe de l'attaque du Deny of Service (DoS), faille souvent exploitée pour nuire à un utilisateur particulier.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager