<div dir="ltr">Hi,<div>Can't you just do some rate limiting at your webserver level ?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 12, 2016 at 3:55 PM, McPeak, Travis <span dir="ltr"><<a href="mailto:travis.mcpeak@hpe.com" target="_blank">travis.mcpeak@hpe.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">One issue to be aware of is the use of this as a Denial of Service<br>
vector.  Basically an attacker can use this to lock out key accounts<br>
by continuously sending invalid passwords.<br>
<br>
Doing this might have unexpected and undesirable results,<br>
particularly in automated tasks.<br>
<br>
I think this feature has some definite uses, but we should definitely<br>
think through use and abuse cases, and probably allow a list of<br>
accounts that this should not be active for.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
-Travis<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
On 1/12/16, 3:11 AM, "<a href="mailto:openstack-dev-request@lists.openstack.org">openstack-dev-request@lists.openstack.org</a>" <<a href="mailto:openstack-dev-request@lists.openstack.org">openstack-dev-request@lists.openstack.org</a>> wrote:<br>
<br>
>I have registered a new bp for keystone with the capability of anti brute force<br>
><br>
><br>
>Problem Description:<br>
>the attacks of account are increasing in the cloud<br>
>the attacker steals the account information by guessing the password in brute force.<br>
>therefore, the ability of account in anti brute force is necessary.<br>
><br>
>proposed Change:<br>
>1. add two configure properties for keystone: threshold for times of password error consecutively, time of locked when password error number reaches the threshold.<br>
>2. add two properties of user information in times of password consecutive errors, and last password error time. when the password of an account error consecutively reaches threshold, the account will be locked with a few time.<br>
>3. locked account will unlock automatically when locked status time out<br>
>4. the APIs of keystone which use user_name and password for authentication, the message of response will add an error description when the account is locked</div></div><br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>