[spip-dev] à propos de la longueur minimale des mots de passe

Pierre_FICHES · Décembre 11, 2009, 8:21

Bonjour,

Compte tenu des progrès techniques, ne pensez-vous pas qu'il faudrait relever la longueur minimale des mots de passe de 6 à 8 ?
Et au passage éventuellement introduire une constante.

ça concerne entre autre la ligne 122 de action/editer_auteur :
else if ($new_pass AND strlen($new_pass) < 6)

romy · Décembre 11, 2009, 8:37

Idem sur la longueur minimale des messages de forum : 10 caractères mini ne permettent pas de simplement acquiescer d'un simple « » ou « +1 »...

Corrobori · Décembre 11, 2009, 10:20

Salut

et pourquoi pas inclure un testeur de résistance du mot de passe comme dans cet exemple en jquery, comme ça chacun pourrait décider de la longueur de son mot de passe.
http://www.unwrongest.com/projects/password-strength/
Corrobori

Julien_Lambert1 · Décembre 12, 2009, 3:05

C’est rigolo le testeur de password

Moi remonter les MDP à 8… Bofbof… J’aime bien 6 : “maison”.

:}

Sérieusement déjà que c’est chiant de retenir 45000 mdp, si en plus ils doivent tous faire 8 caractères mini… Moi ça me plaît moyen dans le principe

Pierre_FICHES · Décembre 12, 2009, 6:38

C’est rigolo le testeur de password

+1

Moi remonter les MDP à 8… Bofbof… J’aime bien 6 : « maison ».

6 lettres d’un mot du dictionnaire, autant ne pas mettre de mot de passe

:}

Sérieusement déjà que c’est chiant de retenir 45000 mdp,

on peut faire avec beaucoup moins

si en plus ils doivent tous faire 8 caractères mini… Moi ça me plaît moyen dans le principe

+1 mais l’évolution des processeurs semblent l’imposer.

davux · Décembre 12, 2009, 9:23

Vu que tout le monde a plein d'avis différents, pourquoi ça ne serait pas juste
une variable de configuration ? Bien sûr il y aurait une valeur par défaut,
mais du coup l'enjeu serait moindre vu que chaque webmaster pourrait adapter
le compromis sécurité/confort aux exigences de son site.

Pierre_FICHES · Décembre 13, 2009, 12:25

c'est ce que j'ai proposé sur inscription2 avec le test de "cassabilité" suggéré par Michel.

pierre

epilibre · Décembre 13, 2009, 10:21

Salut,

perso je pense d'abord qu'il faudrait encoder les données en sha1 et
non pas en md5, trop facile à casser.
Ensuite, éduquer les utilisateurs pour qu'ils n'utilisent plus des
mots du dictionnaire, je suis pour !

b_b · Décembre 13, 2009, 4:10

Salut,

Tout ceci existe déjà sous forme de plugin :

Il ne reste plus qu'à le porter vers SPIP 2.0.