Development #79072
Paramétrage par défaut de la force du mot de passe
0%
Description
- Il y a un paramétrage A2_PASSWORD_POLICY_MIN_CLASSES (« Minimum number of characters classes to be present in passwords ») qui est par défaut à 3. J'ai l'impression qu'il n'est personnalisé nulle part.
Ça conduit à afficher en dessous du champ mot de passe « Pour la sécurité du mot de passe veuillez avoir a minima : 1 minuscule 1 chiffre 1 majuscule ». - Il y a eu un nouveau paramétrage A2_PASSWORD_POLICY_MIN_STRENGTH introduit par #63831. L'activation de ce paramètre remplace le précédent, et au lieu d'indiquer des critères précis à valider, sous le champ mot de passe il y a désormais un joli indicateur de force. C'est en revanche désactivé par défaut. Sur le SaaS, c'est activé sur une instance de recette, et nulle part en prod.
- Ce dernier paramètre est, contrairement au précédent, exposé dans le BO (je viens de pousser #78232 qui ne fait que le déplacer).
- Le libellé du choix par défaut, correspondant à la valeur None, est un énigmatique « Valeur par défaut du système ».
Est-ce qu'on ne voudrait pas pousser l'utilisation du nouveau paramètre plutôt que de l'ancien ?
On pourrait commencer par changer le paramétrage par défaut sur les nouvelles instances, histoire que le code tourne un peu ?
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a 11 mois
Le libellé du choix par défaut, correspondant à la valeur None, est un énigmatique « Valeur par défaut du système ».
Oui c'est nul partout où on affiche ça.
Est-ce qu'on ne voudrait pas pousser l'utilisation du nouveau paramètre plutôt que de l'ancien ?
Perso oui; l'obstacle initial que je vois c'est une frilosité par rapport à des recommandations ANSSI qui n'ont pas encore absorbés celles du NIST et une frilosité de résponsables sécurité qui parfois n'ont même pas encore absorbé les recommandations de l'ANSSI (type ne pas forcer un renouvellement périodique). (mais on ne parle pas de retirer l'ancien code, on pourra toujours sur les instances où ce serait demandé, faire le changement).
Mis à jour par Robot Gitea il y a 11 mois
- Statut changé de Nouveau à En cours
Valentin Deniaud (vdeniaud) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/83
- Titre : WIP: authenticators: enable password strength meter by default (#79072)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/83/files
Mis à jour par Robot Gitea il y a 11 mois
- Statut changé de Solution proposée à Solution validée
Paul Marillonnet (pmarillonnet) a approuvé une pull request sur Gitea concernant cette demande :
Mis à jour par Robot Gitea il y a 11 mois
- Statut changé de Solution validée à Résolu (à déployer)
Valentin Deniaud (vdeniaud) a mergé une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/83
- Titre : authenticators: enable password strength meter by default (#79072)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/83/files
Mis à jour par Transition automatique il y a 10 mois
- Statut changé de Résolu (à déployer) à Solution déployée
authenticators: enable password strength meter by default (#79072)