Bonjour,
Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ?
Dans quel fichier faut il aller ?
Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères
spéciaux c'est bien, qu'en pensez vous ?
Stanislas
Stanislas a écrit :
Bonjour,
Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ?
Dans quel fichier faut il aller ?Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères
spéciaux c'est bien, qu'en pensez vous ?Stanislas
_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : FAQ webmestre - SPIP
Bonjour Stanislas,
si je ne m'abuse le mot de passe est cripté en md5, si tu as un soucis c'est que tu caches des données ultra confidencielles LOL
Stanislas a écrit :
Bonjour,
Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ?
Dans quel fichier faut il aller ?Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères
spéciaux c'est bien, qu'en pensez vous ?Stanislas
tu as toujours la possibilité d'utiliser la clé PGP pour les rédacteurs
freebsnet a écrit :
Stanislas a écrit :
Bonjour,
Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ?
Dans quel fichier faut il aller ?Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères
spéciaux c'est bien, qu'en pensez vous ?Stanislas
tu as toujours la possibilité d'utiliser la clé PGP pour les rédacteurs
Bonjour
Je crois qu'il voulait changer la limite minimal pour le nombre de
caractères demandés pour les mots de passes.
Avec une clef GPG (ou PGP ?), ça m'intéresse, comment fais-t'on?
Si je précise la clef publique d'un rédacteur dans sa fiche Auteur,
il ne peut si connecter que par authentification GPG?
A bientôt
Grégoire
Grégoire a écrit :
freebsnet a écrit :Stanislas a écrit :Bonjour, Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ? Dans quel fichier faut il aller ? Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères spéciaux c'est bien, qu'en pensez vous ? Stanislastu as toujours la possibilité d'utiliser la clé PGP pour les rédacteursBonjour Je crois qu'il voulait changer la limite minimal pour le nombre de caractères demandés pour les mots de passes. Avec une clef GPG (ou PGP ?), ça m'intéresse, comment fais-t'on? Si je précise la clef publique d'un rédacteur dans sa fiche Auteur, il ne peut si connecter que par authentification GPG? A bientôt Grégoire _______________________________________________ liste spip - désabonnement : Infos et archives : Documentation de SPIP : irc://irc.freenode.net/spip FAQ :
Bonjour Grégoire,
concernat la longueur de caractère du mot de passe, j’ai fais une boutade sur le caractère confidentiel du mot de passe, il faut voir dans quel environnement Stanislas travaille, si c’est en environnement restreint ou public, je m’explique si c’est en environnement ou ou tout le monde est connu c’est une chose , si c’est dans un contexte ou un personne peut mémoriser un mot de passe par dessus votre épaule en une autre.
concernant PGP je peux faire une recherche pour spip, je connais son application sur d’autre systèmes d’authentification mais pas sur spip, donc je m’en retourne vers d’autre recherche
@+
Grégoire a écrit :
freebsnet a écrit :Stanislas a écrit :Bonjour, Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ? Dans quel fichier faut il aller ? Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères spéciaux c'est bien, qu'en pensez vous ? Stanislastu as toujours la possibilité d'utiliser la clé PGP pour les rédacteursBonjour Je crois qu'il voulait changer la limite minimal pour le nombre de caractères demandés pour les mots de passes. Avec une clef GPG (ou PGP ?), ça m'intéresse, comment fais-t'on? Si je précise la clef publique d'un rédacteur dans sa fiche Auteur, il ne peut si connecter que par authentification GPG? A bientôt Grégoire
Voila Grégoire ce que tu cherche, parcontre mettre en oeuvre un serveur LDAP en PHP je sais pas faire, mais serai intéressant de pousser le recherche plus loin.
@+
freebsnet a écrit :
Grégoire a écrit :
freebsnet a écrit :
Stanislas a écrit :
Bonjour,
Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ?
Dans quel fichier faut il aller ?Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères
spéciaux c'est bien, qu'en pensez vous ?Stanislas
tu as toujours la possibilité d'utiliser la clé PGP pour les rédacteurs
BonjourJe crois qu'il voulait changer la limite minimal pour le nombre de
caractères demandés pour les mots de passes.Avec une clef GPG (ou PGP ?), ça m'intéresse, comment fais-t'on?
Si je précise la clef publique d'un rédacteur dans sa fiche Auteur,
il ne peut si connecter que par authentification GPG?A bientôt
GrégoireVoila Grégoire ce que tu cherche, parcontre mettre en oeuvre un serveur LDAP en
PHP je sais pas faire, mais serai intéressant de pousser le recherche plus loin.
Le support LDAP - SPIP
@+
Merci
Donc, c'est à faire...
Effectivement, concernant le mot de passe, tout dépends du contexte.
Bonne soirée
Grégoire
"freebsnet" <freebsnet@free.fr> a écrit
Bonjour Stanislas,
si je ne m'abuse le mot de passe est cripté en md5, si tu as un soucis
c'est que tu caches des données ultra confidencielles LOL
confidentielles non... encore que si on met un accès restreint c'est pour
qu'il reste restreint...
MD5 protège même en cas d'accès à la base, mais il n'empêche pas une attaque
par dictionnaire... mon idée est de veiller à décourager les imbéciles qui
veulent se payer la défiguration de mon site... je me dis d'ailleurs qu'une
désactivation automatique d'un compte après un certain nombre d'erreur
serait pas mal aussi...
Stanislas a écrit :
"freebsnet" a écrit Bonjour Stanislas, si je ne m'abuse le mot de passe est cripté en md5, si tu as un soucis c'est que tu caches des données ultra confidencielles LOLconfidentielles non... encore que si on met un accès restreint c'est pour qu'il reste restreint... MD5 protège même en cas d'accès à la base, mais il n'empêche pas une attaque par dictionnaire... mon idée est de veiller à décourager les imbéciles qui veulent se payer la défiguration de mon site... je me dis d'ailleurs qu'une désactivation automatique d'un compte après un certain nombre d'erreur serait pas mal aussi...--- _______________________________________________ liste spip - désabonnement : Infos et archives : Documentation de SPIP : irc://irc.freenode.net/spip FAQ :
Bonsoir Stanislas,
tu peux aussi envisager ceci :
L’attaque par la force brute est la seule à laquelle aucun algorithme ne résiste : elle consiste à tester toutes les clés possibles, jusqu’à trouver la bonne. Elle ne constitue pas souvent une bonne approche car elle nécessite souvent des jours, des mois, voire des années pour trouver la clé. On peut aussi l’optimiser en se servant d’un dictionnaire.
Donc j’en reviens si ton site, ne détient-il pas d’information « secrét défence » ou « secret nuclaire » ou encore « CENA » ou aussi « PAT » faut pas tomber dans la paranoïat, md5 est déja parano en sécurité.
Stanislas a écrit :
Bonjour,
Est ce que l'on peut allonger la longueur du mot de passe demander par SPIP ?
Dans quel fichier faut il aller ?Il semble que 10 caractères avec minuscules, majuscules, chiffres et caractères
spéciaux c'est bien, qu'en pensez vous ?
tu ne pourras pas verifier ca coté serveur puisque tu recois un md5 du mot de passe...
le seul truc que tu puisse faire, c'est ajouter un petit javascript qui analyse le contenu du champ password au changement de mot de passe pour raler si ils ne suivent pas tes regles, mais si la personne desactive javascript, elle pourra toujours mettre 123 comme mot de passe.
tu peux aussi agir sur la generation automatique de mot de passe pour faire du plus long et plus compliqué et interdire à tes user d'en changer.
@++
"Stephane" <stephane@rezo.net> a écrit
tu ne pourras pas verifier ca coté serveur puisque tu recois un md5 du
mot de passe...
le seul truc que tu puisse faire, c'est ajouter un petit javascript qui
analyse le contenu du champ password
Ah ok, merci je comprends la mécanique.
tu peux aussi agir sur la generation automatique de mot de passe pour
faire du plus long et plus compliqué et interdire à tes user d'en changer.
Voilà, je souhaite que mes utilisateurs aient le "droit" d'oublier leur mot
de passe. SPIP permet à l'utilisateur de se faire envoyer sur sa messagerie
un courriel avec un lien pour créer un nouveau mot de passe. Comment faire
pour que SPIP envoit plutôt un mot de passe généré aléatoirement ?
Stanislas a écrit :
"Stephane" a écrit tu ne pourras pas verifier ca coté serveur puisque tu recois un md5 du mot de passe... le seul truc que tu puisse faire, c'est ajouter un petit javascript qui analyse le contenu du champ passwordAh ok, merci je comprends la mécanique.tu peux aussi agir sur la generation automatique de mot de passe pour faire du plus long et plus compliqué et interdire à tes user d'en changer.Voilà, je souhaite que mes utilisateurs aient le "droit" d'oublier leur mot de passe. SPIP permet à l'utilisateur de se faire envoyer sur sa messagerie un courriel avec un lien pour créer un nouveau mot de passe. Comment faire pour que SPIP envoit plutôt un mot de passe généré aléatoirement ?--- _______________________________________________ liste spip - désabonnement : Infos et archives : Documentation de SPIP : irc://irc.freenode.net/spip FAQ :
Salut,
tu aurai expliqué ceci plus tôt cela aurai évité du bruit pour rien !
Voilà, je souhaite que mes utilisateurs aient le "droit" d'oublier leur mot
de passe. SPIP permet à l'utilisateur de se faire envoyer sur sa messagerie
un courriel avec un lien pour créer un nouveau mot de passe. Comment faire
pour que SPIP envoit plutôt un mot de passe généré aléatoirement ?
bon courage
freebsnet a écrit :
Stanislas a écrit :
"freebsnet" <freebsnet@free.fr> a écrit
Bonjour Stanislas,
si je ne m'abuse le mot de passe est cripté en md5, si tu as un soucis
c'est que tu caches des données ultra confidencielles LOL
confidentielles non... encore que si on met un accès restreint c'est pour
qu'il reste restreint...
MD5 protège même en cas d'accès à la base, mais il n'empêche pas une attaque
par dictionnaire... mon idée est de veiller à décourager les imbéciles qui
veulent se payer la défiguration de mon site... je me dis d'ailleurs qu'une
désactivation automatique d'un compte après un certain nombre d'erreur
serait pas mal aussi...--------------------------------------------------------------------------------
_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : FAQ webmestre - SPIP
Bonsoir Stanislas,
tu peux aussi envisager ceci :Force brute
L'attaque par la force brute est la seule à laquelle aucun algorithme ne résiste
: elle consiste à tester toutes les clés possibles, jusqu'à trouver la bonne.
Elle ne constitue pas souvent une bonne approche car elle nécessite souvent des
jours, des mois, voire des années pour trouver la clé. On peut aussi l'optimiser
en se servant d'un dictionnaire.Donc j'en reviens si ton site, ne détient-il pas d'information "secrét défence"
ou "secret nuclaire" ou encore "CENA" ou aussi "PAT" faut pas tomber dans la
paranoïat, md5 est déja parano en sécurité.
D'autant plus que :
Ce n'est pas seulement du MD5.
Prends ton mot de passe, chiffre-le en MD5, ce ne sera pas le même
que celui dans la base 
De plus, pour un login, tu peux augmenter la protection en
rallentissant le temps de chargement de la page, ce qui rallentit
d'autant la méthode "brute force".
Pour les sites, le plus dangereux est le vol de session. Dans le cas
de Spip, ses mécanismes sont en principe prévu pour qu'une seule
partie de l'action soit seulement refaisable (mais, faudrait
demander aux dév pour être certain).
A bientôt
Grégoire
Pour les sites, le plus dangereux est le vol de session.
Et le request forgery, c'est le plus fun...