13-12-2012, 12:13 PM
(12-12-2012, 12:39 PM)Ter Rowan a écrit : coucou
quel est l'intérêt de la capcha au bout de trois essais en erreur ?
On sait déjà que :
- soit on a un utilisateur qui n'arrive plus à se connecter
- soit on a un robot qui cherche à forcer l'entrée
- soit on a un malveillant qui veut pourrir la vie d'un utilisateur (ça on n'en a pas encore parler)
la capcha sert juste à séparer le robot de l'humain, mais dans notre cas, on sait déjà cela
L'intérêt d'un captcha au bout de 3 erreurs est simplement pour être "sûr" d'avoir à faire à un humain. Je ne peux définitivement pas me baser sur des intervalles de temps pour le faire (sachant qu'un bot est capable d'attendre, ou de bruteforcer de manière non-périodique). Le captcha lève le doute. Et puis dans les esprits, ça rassure en tant qu'utilisateur simple, non-développeur qui croit tous les mythes urbains de l'internet, de voir qu'il y'a une certaine "pseudo-sécurité".
Après c'est un choix, cela fait partie d'une politique de sécurité comme une autre. Parfois l'utilisateur ne se souvient pas de son password du premier coup, au moins, il peut faire trois essais sans qu'on le fasse chier, après captcha, puis mail, puis déblocage manuel. Si les tentatives s'arrêtent au captcha ou au mail, on peut à coup sûr savoir que c'était un brute force et peut-être sortir une IP à bannir des logs.