Alfresco Brute Force Attack

post thumb
Alfresco
by Cindy Piassale/ on 12 Feb 2020

Alfresco Brute Force Attack

Depuis la version 5.2, Alfresco a mis en place un système de protection contre les attaques brute force sur les mot de passe.

Cette nouvelle fonctionnalité permet de bloquer un compte si plusieurs tentatives de connexion sont infructueuses. Les paramètres suivants peuvent être modifiés pour régler à la fonctionnalité suivant son besoin.

PropriétéValeur par défautFonction
authentication.protection.enabledtruePermet d’activer ou non la fonctionnalité
authentication.protection.limit10Nombre de tentatives avant de bloquer le compte
authentication.protection.periodSeconds6Nombre de secondes après lesquels il sera possible de se connecter avec le bon de mot passe
Propriétés pour la protection "Brute Force"

Par défaut le système de protection est activé. Le compte utilisateur est bloqué au bout de 10 tentatives infructueuses et il faut attendre 6 secondes avant de pouvoir se connecter avec le bon mot de passe.

Cette fonctionnalité peut être définie individuellement pour chaque système d’authentification. Nous conseillons de le conserver pour les comptes internes alfresco (subsytem alfrescoNtlm) mais nous le déconseillons pour les authentifications annuaire.

Nous avons rencontré cette problématique chez un client, les comptes s’authentifiant à partir de l’annuaire sont bloqués au bout de 10 tentatives (paramétrage par défaut) comme les comptes internes, mais le déverrouillage ne se fait pas correctement. Seul un redémarrage de l’application permet de déverrouiller le compte. C’est pourquoi nous conseillons de ne pas utiliser la fonctionnalité de protection au niveau d’Alfresco mais plutôt au niveau de l’annuaire, lui-même, si vous souhaitez mettre en place des sécurités.

Pour plus de détail sur le sujet vous pouvez vous référer à la documentation alfresco : Mitigating brute force attack on user passwords.