16-12-2012, 09:20 PM
M'enfin, il est quand même à noter que dans cette façon de fonctionner, l'adresse IP n'est qu'un paramètre de l'équation.
La façon classique de faire, captcha + temps d'attente est très suffisante. Mais mon choix de fonctionnement, pour ne citer que celui là, est un choix d'ergonomie. Je ne veux pas que l'utilisateur se retrouve bloqué sur une page ou il aura un sentiment de frustration de ne pas retrouver son mot de passe.
Le bloquer au bout du quatrième et dernier essai, puis de l'inviter à débloquer son compte par mail et accessoirement de changer son mot de passe directement (en passant, sans qu'il ait besoin de passer par la procédure "mot de passe oublié"), est, en plus d'être une parade contre le bruteforce, m'a permis et là c'est l'expérience qui parle, d'empêcher le départ d'une certaine tranche utilisateur : à savoir, ceux qui, pour un jeu par navigateur n'ont que quelques jours / heures de jeu, et qui abandonnent leur compte suite à une erreur de mot de passe.
La façon classique de faire, captcha + temps d'attente est très suffisante. Mais mon choix de fonctionnement, pour ne citer que celui là, est un choix d'ergonomie. Je ne veux pas que l'utilisateur se retrouve bloqué sur une page ou il aura un sentiment de frustration de ne pas retrouver son mot de passe.
Le bloquer au bout du quatrième et dernier essai, puis de l'inviter à débloquer son compte par mail et accessoirement de changer son mot de passe directement (en passant, sans qu'il ait besoin de passer par la procédure "mot de passe oublié"), est, en plus d'être une parade contre le bruteforce, m'a permis et là c'est l'expérience qui parle, d'empêcher le départ d'une certaine tranche utilisateur : à savoir, ceux qui, pour un jeu par navigateur n'ont que quelques jours / heures de jeu, et qui abandonnent leur compte suite à une erreur de mot de passe.