• # my 2 cents

    Posté par . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 6 (+4/-0).

    Les seuils de scoring semblent tout à fait arbitraire. Il faudrait une étude expliquant pourquoi ces valeurs sont retenues. Comme expliqué par une autre personne on atteint "facilement" les 60 en creusant un peu.

    Le cooldown est par IP ? par compte utilisateur?

    Aucune mention sur la sécurité du compte admin. Hors, si le vol de compte utilisateur est compliqué, l'attaquant peut se concentrer sur le compte admin qui peut valider n'importe quel demande de récupération de compte.

    DoS théorique

    Fausse tentative sur le compte admin pour bloquer son compte + fausse tentative sur les comptes utilisateurs pour les faire passer en mode restreint = service bloqué.

    Je trolle dès quand ça parle business, sécurité et sciences sociales