Gestion des mots de passe

Bonjour à tous,

Me confirmez vous que le seul moyen de recevoir son mot de passe pour un nouvel utilisateur de PluXML est un e-mail (manuel) de l'administrateur qui lui a créé son compte ?

Y'a t'il un plugin ou un autre moyen de faire en sorte que la notification de la création d'un compte se fasse de manière automatique et que le 1er mot de passe envoyé soit un mot de passe temporaire à changer dès la 1ère connexion.

D'ordre général, je serais preneur de plus amples infos permettant de sécuriser un peu plus la création de compte et la transmission des Id/code d'accès + mdp.

J'aimerais aussi savoir comment est construit le mécanisme qui décide que le mot de passe saisi est faible (rouge), moyen (orange) ou fort (vert) ?
Et quel est le nb de caractère min et max autorisé pour la saisie du mot de passe.

merci.
Bonne journée

Réponses

  • À ma connaissance, il n'y a pas de plugin (encore) pour ça.

    Pour le mécanisme de colorisation, c'est la fonction javascript pwdStrength qui s'en charge grâce à des expressions régulières.
    La longueur du mot de passe est réglée à 6 caractères. Je trouve personnellement ça un peu faiblard. D'autant plus que ce n'est qu'une indication et qu'il n'y a pas de vérification côté serveur.
    La protection des mots de passe est également à revoir, un salt et md5 ne protégeant plus grand chose actuellement. Il serait bon d'implémenter les fonctions dédiées http://php.net/manual/fr/book.password.php
  • StéphaneStéphane Member, Former PluXml Project Manager
    le mot de passe est encodé en md5, puis sha1 + salt
    d'abord md5, c'est historique. pour ne pas obliger les utilisateurs à réinitialiser leur mot de passe quand on a changé le type d'encodage.
    le mot de passe en md5 est ensuite encodé en sha1 + salt

    Il n'y a de pas moyen de communiquer un mot de passe. il faut en régénérer un nouveau.

    Consultant PluXml

    Ancien responsable et développeur de PluXml (2010 à 2018)

  • Il est possible d'utiliser une fonction vérifiant le type de mot de passe et de le réencoder si nécessaire. Cela de façon transparente pour l'utilisateur.
  • bazooka07bazooka07 PluXml Lead Developer, Moderator
    @YannG,

    Tu peux tester le plugin suivant :
    http://kazimentou.lan/pluxml-plugins2/index.php?plugin=lostPassword&download
    Cela peut se traduire à la recherche du mot de passe perdu.

    Tu as juste à ajouter le login et l'adresse courriel du nouvel inscrit.
    Tu mets un mot de passe complétement bidon que tu t'empresses d'oublier et que tu ne donnes à personne, même pas à lui.
    Et tu dis au nouvel inscrit de cliquer sur "mot de passe perdu" sur la page d'authentification.
    Comme cela, ça l'instruit et il viendrait pas t'embêter quand il aura oublier le précieux sésame ]:D
Connectez-vous ou Inscrivez-vous pour répondre.