htpasswd

7 réponses

Auteur	Message
krucial \| Administrateur Inscrit le : 09/03/2005	# Le 21/07/2014 à 23:54 Yop Je me suis fait cracker une admin mal protégée en htpasswd depuis longtemps avec un password de merde au bout de 216 000 essais... Du coup, je me demande s'il n'existe pas un moyen de limiter le nombre d'essais ? Merci JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
tonguide \| Jeremy Modérateur Inscrit le : 09/05/2005	# Le 22/07/2014 à 00:47 A ma connaissance, ça n'existe pas. Tu as bien des palliatifs (jail2ban ou fail2ban, je me souviens plus du nom) qui permet de bidouiller un filtre, si tu associes ça avec un contrôle de l'IP, tu peux limiter les brut force (l'un bloquant l'IP, l'autre limitant les IP qui pourront tester). Pour moi, le plus simple reste de maitriser l'identification de AàZ avec un système interne d'identification, ou tu seras libre de dire "3 essais, sinon je bloque". Au moins, pas de question à se poser, tu mets le contrôle au niveau du fichier de config/require/init et t'es sûr de toi. Enfin Olivier aura surement une méthode miracle
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 22/07/2014 à 09:24 Pas de méthode miracle non... un fail2ban bricolé comme tu indiques, ainsi qu'une limite en terme de hit/s. daevel : infogérance et conseil \|\| moi
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 22/07/2014 à 22:51 Ouais c'est clair, un login perso serait plus simple ... JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 23/07/2014 à 09:24 Je suis partisan d'une double protection sur les pages sensibles d'admin htaccess + connexion par session classique Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
BeHost \| Nicolas Membre Inscrit le : 22/07/2014	# Le 24/07/2014 à 11:21 htaccess + session c'est le top et limitation à 3 essais pour la session. Serveur dédié - Solutions d'hébergement web hautes qualités à prix mini: VPS Cloud Pro, VPS Low Cost, serveurs virtuels, serveurs infogérés et noms de domaine.
acti \| Stéphane Modérateur Inscrit le : 13/11/2005	# Le 24/07/2014 à 11:30 Double auth et limite du nombre d'essais sur l'admin. 3 pour un certain nombre d'heures avec notification des tentatives échouées par e-mail. Si connexion validée depuis une autre IP que la précédente => notification. Si connexion établie toujours de la même IP fixe, blocage des autres IPs. Stéphane
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 24/07/2014 à 16:59 Va falloir que j'y passe JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes

Auteur

Message

krucial |
Administrateur

Inscrit le : 09/03/2005

# Le 21/07/2014 à 23:54

Yop

Je me suis fait cracker une admin mal protégée en htpasswd depuis longtemps avec un password de merde au bout de 216 000 essais...

Du coup, je me demande s'il n'existe pas un moyen de limiter le nombre d'essais ?

Merci

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

tonguide | Jeremy
Modérateur

Inscrit le : 09/05/2005

# Le 22/07/2014 à 00:47

A ma connaissance, ça n'existe pas. Tu as bien des palliatifs (jail2ban ou fail2ban, je me souviens plus du nom) qui permet de bidouiller un filtre, si tu associes ça avec un contrôle de l'IP, tu peux limiter les brut force (l'un bloquant l'IP, l'autre limitant les IP qui pourront tester).

Pour moi, le plus simple reste de maitriser l'identification de AàZ avec un système interne d'identification, ou tu seras libre de dire "3 essais, sinon je bloque". Au moins, pas de question à se poser, tu mets le contrôle au niveau du fichier de config/require/init et t'es sûr de toi.

Enfin Olivier aura surement une méthode miracle

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 22/07/2014 à 09:24

Pas de méthode miracle non... un fail2ban bricolé comme tu indiques, ainsi qu'une limite en terme de hit/s.

daevel : infogérance et conseil || moi

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 22/07/2014 à 22:51

Ouais c'est clair, un login perso serait plus simple ...

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 23/07/2014 à 09:24

Je suis partisan d'une double protection sur les pages sensibles d'admin
htaccess
+
connexion par session classique

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

BeHost | Nicolas
Membre

Inscrit le : 22/07/2014

# Le 24/07/2014 à 11:21

htaccess + session c'est le top et limitation à 3 essais pour la session.

Serveur dédié - Solutions d'hébergement web hautes qualités à prix mini: VPS Cloud Pro, VPS Low Cost, serveurs virtuels, serveurs infogérés et noms de domaine.

acti | Stéphane
Modérateur

Inscrit le : 13/11/2005

# Le 24/07/2014 à 11:30

Double auth et limite du nombre d'essais sur l'admin. 3 pour un certain nombre d'heures avec notification des tentatives échouées par e-mail.
Si connexion validée depuis une autre IP que la précédente => notification.
Si connexion établie toujours de la même IP fixe, blocage des autres IPs.

Stéphane

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 24/07/2014 à 16:59

Va falloir que j'y passe

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.