Protection brute-force sur l'authentification (rate-limiting login) #2

Open
opened 2026-06-17 09:30:50 +00:00 by pickle-dev-fr · 0 comments

Protéger l'authentification d'Ipse (login email+mot de passe) contre le brute-force.

Contexte : Ipse est l'IdP ; le login des projets passe par lui (flux BFF). C'est donc le point sensible au brute-force, pas les apps elles-mêmes.

Pistes :

  • Rate-limiting des tentatives de login par IP et par compte (endpoints /authorize / /auth/token / login form).
  • Lockout temporaire / backoff progressif après N échecs successifs.
  • 429 + Retry-After ; journalisation des tentatives (corrélation).
  • À articuler avec le futur reset mot de passe (OTP, issue existante).

Pendant côté IdP du besoin de rate-limiting classique exprimé côté socle (anti-brute-force, pickle-dev-fr/cli#10).

Protéger l'**authentification** d'Ipse (login email+mot de passe) contre le **brute-force**. **Contexte** : Ipse est l'IdP ; le login des projets passe par lui (flux BFF). C'est donc le point sensible au brute-force, pas les apps elles-mêmes. **Pistes** : - [ ] Rate-limiting des tentatives de login **par IP** et **par compte** (endpoints `/authorize` / `/auth/token` / login form). - [ ] **Lockout temporaire** / backoff progressif après N échecs successifs. - [ ] `429` + `Retry-After` ; journalisation des tentatives (corrélation). - [ ] À articuler avec le futur reset mot de passe (OTP, issue existante). _Pendant côté IdP du besoin de rate-limiting classique exprimé côté socle (anti-brute-force, pickle-dev-fr/cli#10)._
Sign in to join this conversation.
No labels
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
pickle-dev-fr/ipse#2
No description provided.