• # reCaptcha à l'identification

    Posté par  . Évalué à 6.

    Bah, tu sais, il y a reCaptcha pour s'identifier. Donc Google connaît déjà ton login et ton mot de passe.

    reCaptcha pour créer un compte, pourquoi pas… Mais pour s'identifier, je ne comprendrais jamais.

    • [^] # Re: reCaptcha à l'identification

      Posté par  . Évalué à 3.

      Mais pour s'identifier, je ne comprendrais jamais.

      Pour éviter les bruteforce sur les login.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: reCaptcha à l'identification

        Posté par  . Évalué à 3.

        Pour éviter les bruteforce sur les login.

        Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !

        • [^] # Re: reCaptcha à l'identification

          Posté par  . Évalué à 6.

          Soit tu fais ça par IP et quelqu'un qui a beaucoup d'IP n'est pas emmerdé (et accessoirement si tu as plusieurs utilisateurs derrière la même IP, il en suffit d'un qui a oublié son mot de passe pour que ça devienne vite un problème), soit tu fais ça par login et là, si je connais ton login, je peux t'empêcher de te loguer.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: reCaptcha à l'identification

            Posté par  . Évalué à 1.

            N'appeler le captcha sur l'identifiant qu'à partir du 3ème ou 5ème échec, quelle que soit l'IP ? Ça me semble pas mal.

            • [^] # Re: reCaptcha à l'identification

              Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 29/07/18 à 14:47.

              Ce recaptcha pourrait d’ailleurs n’apparaître qu’après soumission du 6ième formulaire pour cet identifiant (donc après le 5ième échec) sur une autre page avec aucune information personnelle. Pastebin fait un truc similaire : ils te mettent le recaptcha après que tu aies soumis ton texte et recaptcha ne voit pas ton texte.

              ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: reCaptcha à l'identification

          Posté par  . Évalué à 2. Dernière modification le 25/07/18 à 18:22.

          Il suffit de journaliser les tentatives échouées (comme tout bon système), et de rajouter un temps d'attente au bout de 5 échecs. Enfin, je crois que c'est facile, je me trompe peut-être !

          Mais du coup, ça devient super facile d'empêcher les utilisateurs de se connecter (suffit de faire 5 échec sur leur compte toutes les 5 minutes).

          Bon, on fait 5 échec par ip ? mais l'attaquant, il a plein (genre plein) d'adresses ip à disposition (botnet, tout ça), du coup, ça n'empêche plus vraiment le bruteforce… => captcha

          edit: grilled :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.