Mon client possède un serveur qui est soumis à des tentatives de connexion par force brute à partir d'un botnet. En raison des aléas du serveur et du client du client, nous ne pouvons pas facilement bloquer les tentatives via un pare-feu, un changement de port ou un changement de nom de compte de connexion.
La décision a été prise de le laisser ouvert aux attaques, mais de trouver une méthode pour sécuriser le mot de passe. La direction et certains autres consultants ont déterminé que la meilleure chose à faire est d'installer un logiciel de rotation de mot de passe pour faire pivoter le mot de passe toutes les dix minutes et fournir le nouveau mot de passe aux utilisateurs qui doivent se connecter.
Les tentatives de force brute se produisent deux fois par seconde.
Je dois démontrer que l'implémentation d'un mot de passe fort avec 12-15 caractères est une solution plus simple et gratuite. Je sais comment le prouver avec les maths, mais j'écrirais juste quelque chose comme "il y a x beaucoup de permutations possibles de notre mot de passe, et l'attaquant ne peut essayer que n tentatives par jour, donc nous nous attendrions à ce qu'il aille x / 2 jours en moyenne avant de deviner notre mot de passe. " Existe-t-il une "preuve" plus standard de cela?