• # Protection contre les attaque par dictionnaires

    Posté par . En réponse au journal Mot de passe for ever. Évalué à 6.

    Afin de se protéger des attaques, peut-on réutiliser cette méthode (sans la partie qui donne l’impression que la connexion a effectivement eut lieu) de la façon suivante :
    - j’ai un nom de compte
    - j’ai mon mot de passe associé à ce compte
    - le site génère un certain nombre de mot de passe pièges à ne surtout pas taper (ils doivent être suffisamment différent du vrai mot de passe pour qu’une erreur de frappe fasse que l’utilisateur légitime ne les utilise pas par hasard). Il est inutile de les connaitre, ils faut juste s’assurer qu’on ne puisse pas les utiliser par erreur.

    Si je me connecte avec mon mot de passe, tout marche.
    Si je fait une erreur, comme d’habitude, on me le redemande.
    Si j’essaye un faux mot de passe le compte est bloqué (mais l’utilisateur légitime ne peux pas tomber dans ce piège).

    Si quelqu’un essaye de me voler mon compte, avec une attaque (bruteforce ou dictionnaire par exemple), il est beaucoup plus probable qu’il tombe sur un des mot de passe pièges (par ce qu’ils sont nombreux et qu’ils peuvent être choisie de manière à être plus probable - tel que des mots de passe standards). Le système peux alors détecter automatiquement une tentative d’attaque et verrouiller le compte. L’utilisateur légitime peut en être informé, et accéder alors à un système d’authentification plus compliqué (question secrète + sms par exemple).

    Est ce que cette méthode vous parais incongru ? Pourquoi n’est-elle pas utilisée ?

    bépo powered