Délai de verrouillage du contrôle pour les tentatives de réinitialisation du mot de passe non valide [Mis à jour dans Centre de sécurité 1.3 et 2.0]
La password_reset.request.max_attempt_window propriété contrôle le nombre de minutes pendant lesquelles un utilisateur doit patienter avant de réinitialiser ou de changer son mot de passe après avoir dépassé le nombre maximal de tentatives infructueuses défini avec la password_reset.request.max_attempt propriété.
La password_reset.request.max_attempt_window propriété définit le nombre de minutes pendant lesquelles un utilisateur doit patienter avant de réinitialiser ou de changer son mot de passe après avoir dépassé le nombre maximal de tentatives infructueuses défini avec le password_reset.request.max_attempt property. Un petit nombre de minutes pour la password_reset.request.max_attempt_window propriété augmente le risque d’attaque par force brute réussie d’un mot de passe, car un plus grand nombre de tentatives de réinitialisation du mot de passe peuvent être effectuées. La valeur par défaut de 1440 minutes est recommandée.
Assurez-vous que la propriété password_reset.request.max_attempt_window est définie sur 1 440 ou plus.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | password_reset.request.max_attempt_window |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Catégorie | Authentification |
| Objectif | Indique la période de verrouillage en minutes après l’atteinte du nombre maximal de tentatives infructueuses de réinitialisation du mot de passe. |
| Valeur recommandée | 1440 |
| Valeur par défaut | 1440 |
| Type de configuration | Valeurs entières positives |
| Risque de sécurité | (Élevé) Si la propriété n’est pas définie sur la valeur recommandée de 1 440 ou moins, il est possible d’effectuer une opération de force brute du compte, car le compte ne sera pas verrouillé après un nombre maximal de tentatives d’authentification incorrectes. |
| Cote de risque de sécurité | 7.5 |
| Références | Configurer les propriétés de réinitialisation du mot de passe |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.