07-06-2011, 04:43 PM
Honnêtement, je ne pense pas qu'il soit utile de mettre en place ce genre de protection, et encore moins au niveau du client.
Je trouve qu'un simple compteur de connexions échouées au niveau du compte est plus simple et utile. Tu alertes le propriétaire du compte après quelques échecs et libre à lui de décider de ce qu'il fera. Tu peux lui proposer de changer de mot de passe (avec pourquoi pas un outil pour évaluer la force de son mot de passe ?).
Pour la partie IP, tu peux simplement utiliser Fail2Ban, tu le fais bannir les gens qui rencontrent un peu trop d'erreurs 401/403 et voilà (bien sûr, ton application doit servir ces code erreurs en cas d'échec).
Je trouve qu'un simple compteur de connexions échouées au niveau du compte est plus simple et utile. Tu alertes le propriétaire du compte après quelques échecs et libre à lui de décider de ce qu'il fera. Tu peux lui proposer de changer de mot de passe (avec pourquoi pas un outil pour évaluer la force de son mot de passe ?).
Pour la partie IP, tu peux simplement utiliser Fail2Ban, tu le fais bannir les gens qui rencontrent un peu trop d'erreurs 401/403 et voilà (bien sûr, ton application doit servir ces code erreurs en cas d'échec).