Depuis la version 5.2, Alfresco a mis en place un système de protection contre les attaques brute force sur les mot de passe.

Cette nouvelle fonctionnalité permet de bloquer un compte si plusieurs tentatives de connexion sont infructueuses. Les paramètres suivants peuvent être modifié pour régler à la fonctionnalité suivant son besoin.

Table 1. Propriétés pour la protection "Brute Force"
Propriété Valeur par défaut Fonction

authentication.protection.enabled

true

Permet d’activer ou non la fonctionnalité

authentication.protection.limit

10

Nombre de tentatives avant de bloquer le compte

authentication.protection.periodSeconds

6

Nombre de secondes après lesquels il sera possible de se connecter avec le bon de mot passe

Par défaut le système de protection est activé. Le compte utilisateur est bloqué au bout de 10 tentatives infructueuses et il faut attendre 6 secondes avant de pouvoir se connecter avec le bon mot de passe.

Cette fonctionnalité peut être définie individuellement pour chaque système d’authentification. Nous conseillons de le conserver pour les comptes internes alfresco (subsytem alfrescoNtlm) mais nous le déconseillons pour les authentifications annuaire.

Nous avons recontré cette problématique chez un client, les comptes s’authentifiant à partir de l’annuaire sont bloqués au bout de 10 tentatives (paramétrage par défaut) comme les comptes internes mais le déverouillage ne se fait pas correctement. Seul un redémarrage de l’application permet de déverrouiller le compte. C’est pourquoi nous conseillons de ne pas utiliser la fonctionnalité de protection au niveau d’Alfresco mais plutôt au niveau de l’annuaire, lui-même, si vous souhaitez mettre en place des sécurités.

Pour plus de détail sur le sujet vous pouvez vous référer à la documentation alfresco : Mitigating brute force attack on user passwords.