PluXml.org

Blog ou CMS à l'Xml

Vous n'êtes pas identifié(e).

#1 06/11/2017 15:56:49

YannG
Membre
Inscription : 06/11/2017
Messages : 1

Gestion des mots de passe

Bonjour à tous,

Me confirmez vous que le seul moyen de recevoir son mot de passe pour un nouvel utilisateur de PluXML est un e-mail (manuel) de l'administrateur qui lui a créé son compte ?

Y'a t'il un plugin ou un autre moyen de faire en sorte que la notification de la création d'un compte se fasse de manière automatique et que le 1er mot de passe envoyé soit un mot de passe temporaire à changer dès la 1ère connexion.

D'ordre général, je serais preneur de plus amples infos permettant de sécuriser un peu plus la création de compte et la transmission des Id/code d'accès + mdp.

J'aimerais aussi savoir comment est construit le mécanisme qui décide que le mot de passe saisi est faible (rouge), moyen (orange) ou fort (vert) ?
Et quel est le nb de caractère min et max autorisé pour la saisie du mot de passe.

merci.
Bonne journée

Hors ligne

#2 07/11/2017 15:00:28

Jerry Wham
Membre
Inscription : 13/07/2011
Messages : 2 554
Site Web

Re : Gestion des mots de passe

À ma connaissance, il n'y a pas de plugin (encore) pour ça.

Pour le mécanisme de colorisation, c'est la fonction javascript pwdStrength qui s'en charge grâce à des expressions régulières.
La longueur du mot de passe est réglée à 6 caractères. Je trouve personnellement ça un peu faiblard. D'autant plus que ce n'est qu'une indication et qu'il n'y a pas de vérification côté serveur.
La protection des mots de passe est également à revoir, un salt et md5 ne protégeant plus grand chose actuellement. Il serait bon d'implémenter les fonctions dédiées http://php.net/manual/fr/book.password.php


Mangez un castor, vous sauverez un arbre !

J'ai la tête dans le  ...code

Hors ligne

#3 07/11/2017 19:52:12

Stéphane
Responsable du projet
Lieu : pas loin de Metz
Inscription : 07/08/2007
Messages : 6 275
Site Web

Re : Gestion des mots de passe

le mot de passe est encodé en md5, puis sha1 + salt
d'abord md5, c'est historique. pour ne pas obliger les utilisateurs à réinitialiser leur mot de passe quand on a changé le type d'encodage.
le mot de passe en md5 est ensuite encodé en sha1 + salt

Il n'y a de pas moyen de communiquer un mot de passe. il faut en régénérer un nouveau.


Mes articles et tutoriels pour PluXml
Pluxopolis mon site sur PluXml, mais pas seulement...
Twitter: @pluxopolis

Hors ligne

#4 27/11/2017 00:14:29

Jerry Wham
Membre
Inscription : 13/07/2011
Messages : 2 554
Site Web

Re : Gestion des mots de passe

Il est possible d'utiliser une fonction vérifiant le type de mot de passe et de le réencoder si nécessaire. Cela de façon transparente pour l'utilisateur.


Mangez un castor, vous sauverez un arbre !

J'ai la tête dans le  ...code

Hors ligne

#5 27/11/2017 00:52:38

bazooka07
Membre
Lieu : Quelque part en Rhône-Alpes
Inscription : 06/02/2014
Messages : 1 102
Site Web

Re : Gestion des mots de passe

@YannG,

Tu peux tester le plugin suivant :
http://kazimentou.lan/pluxml-plugins2/i … d&download
Cela peut se traduire à la recherche du mot de passe perdu.

Tu as juste à ajouter le login et l'adresse courriel du nouvel inscrit.
Tu mets un mot de passe complétement bidon que tu t'empresses d'oublier et que tu ne donnes à personne, même pas à lui.
Et tu dis au nouvel inscrit de cliquer sur "mot de passe perdu" sur la page d'authentification.
Comme cela, ça l'instruit et il viendrait pas t'embêter quand il aura oublier le précieux sésame  devil

Hors ligne

Pied de page des forums

A propos Nous soutenir Contact Twitter Google+
Copyright © 2006-2018 PluXml.org, tous droits réservés