Je crée un système de connexion et je veux bloquer la personne qui essaie de se connecter pendant quelques minutes lorsque le mauvais nom d'utilisateur et le mot de passe sont donnés, disons 4 fois.Tentatives limitées de connexion
Je sais comment le bloquer sur IP mais cela créerait un bloc pour par exemple. une école entière, si je suis là. Maintenant, je pourrais utiliser le nom d'utilisateur que la personne entre pour bloquer l'accès mais cela laisse la possibilité que le nom d'utilisateur entré n'existe pas dans la base de données.
Ma question est: Comment puis-je créer ce bloc pour quelqu'un qui entre un nom d'utilisateur qui n'existe pas. Et quel genre de tables de base de données aurais-je besoin pour cela.
J'ai aussi cherché la possibilité d'utiliser la session et les cookies pour cela mais cela laisse un problème de sécurité des logiciels que les gens peuvent créer pour supprimer les sessions et les cookies.
Alors, si quelqu'un pouvait m'aider, je l'apprécierais.
Je dirais, optez pour une solution valide à 99%. Vous avez raison, le blocage par adresse IP n'est pas une bonne idée car cela pourrait bloquer de grands groupes d'utilisateurs; plus si quelqu'un veut, ils peuvent usurper leur adresse IP. Le blocage par un nom d'utilisateur n'est efficace que si quelqu'un essaie de deviner un mot de passe pour un utilisateur particulier; les sessions/cookies peuvent être facilement supprimés par les utilisateurs finaux. Je suggère d'utiliser une combinaison de plusieurs méthodes: verrouiller le nom d'utilisateur après N tentatives de connexion infructueuses, utiliser les sessions à n'importe quel degré que l'utilisateur utilise et éventuellement bloquer l'adresse IP après un grand nombre de tentatives. –