Gestion des mots de passe
Bonjour à tous,
Me confirmez vous que le seul moyen de recevoir son mot de passe pour un nouvel utilisateur de PluXML est un e-mail (manuel) de l'administrateur qui lui a créé son compte ?
Y'a t'il un plugin ou un autre moyen de faire en sorte que la notification de la création d'un compte se fasse de manière automatique et que le 1er mot de passe envoyé soit un mot de passe temporaire à changer dès la 1ère connexion.
D'ordre général, je serais preneur de plus amples infos permettant de sécuriser un peu plus la création de compte et la transmission des Id/code d'accès + mdp.
J'aimerais aussi savoir comment est construit le mécanisme qui décide que le mot de passe saisi est faible (rouge), moyen (orange) ou fort (vert) ?
Et quel est le nb de caractère min et max autorisé pour la saisie du mot de passe.
merci.
Bonne journée
Me confirmez vous que le seul moyen de recevoir son mot de passe pour un nouvel utilisateur de PluXML est un e-mail (manuel) de l'administrateur qui lui a créé son compte ?
Y'a t'il un plugin ou un autre moyen de faire en sorte que la notification de la création d'un compte se fasse de manière automatique et que le 1er mot de passe envoyé soit un mot de passe temporaire à changer dès la 1ère connexion.
D'ordre général, je serais preneur de plus amples infos permettant de sécuriser un peu plus la création de compte et la transmission des Id/code d'accès + mdp.
J'aimerais aussi savoir comment est construit le mécanisme qui décide que le mot de passe saisi est faible (rouge), moyen (orange) ou fort (vert) ?
Et quel est le nb de caractère min et max autorisé pour la saisie du mot de passe.
merci.
Bonne journée
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Pour le mécanisme de colorisation, c'est la fonction javascript pwdStrength qui s'en charge grâce à des expressions régulières.
La longueur du mot de passe est réglée à 6 caractères. Je trouve personnellement ça un peu faiblard. D'autant plus que ce n'est qu'une indication et qu'il n'y a pas de vérification côté serveur.
La protection des mots de passe est également à revoir, un salt et md5 ne protégeant plus grand chose actuellement. Il serait bon d'implémenter les fonctions dédiées http://php.net/manual/fr/book.password.php
d'abord md5, c'est historique. pour ne pas obliger les utilisateurs à réinitialiser leur mot de passe quand on a changé le type d'encodage.
le mot de passe en md5 est ensuite encodé en sha1 + salt
Il n'y a de pas moyen de communiquer un mot de passe. il faut en régénérer un nouveau.
Consultant PluXml
Ancien responsable du projet (2010 à 2018)
Tu peux tester le plugin suivant :
http://kazimentou.lan/pluxml-plugins2/index.php?plugin=lostPassword&download
Cela peut se traduire à la recherche du mot de passe perdu.
Tu as juste à ajouter le login et l'adresse courriel du nouvel inscrit.
Tu mets un mot de passe complétement bidon que tu t'empresses d'oublier et que tu ne donnes à personne, même pas à lui.
Et tu dis au nouvel inscrit de cliquer sur "mot de passe perdu" sur la page d'authentification.
Comme cela, ça l'instruit et il viendrait pas t'embêter quand il aura oublier le précieux sésame ]:D
Accès à mon dépôt de plugins et thèmes
installe PluXml plus vite que ton ombre avec kzInstall2