Développement #79072
Paramétrage par défaut de la force du mot de passe
0%
Description
- Il y a un paramétrage A2_PASSWORD_POLICY_MIN_CLASSES (« Minimum number of characters classes to be present in passwords ») qui est par défaut à 3. J'ai l'impression qu'il n'est personnalisé nulle part.
Ça conduit à afficher en dessous du champ mot de passe « Pour la sécurité du mot de passe veuillez avoir a minima : 1 minuscule 1 chiffre 1 majuscule ». - Il y a eu un nouveau paramétrage A2_PASSWORD_POLICY_MIN_STRENGTH introduit par #63831. L'activation de ce paramètre remplace le précédent, et au lieu d'indiquer des critères précis à valider, sous le champ mot de passe il y a désormais un joli indicateur de force. C'est en revanche désactivé par défaut. Sur le SaaS, c'est activé sur une instance de recette, et nulle part en prod.
- Ce dernier paramètre est, contrairement au précédent, exposé dans le BO (je viens de pousser #78232 qui ne fait que le déplacer).
- Le libellé du choix par défaut, correspondant à la valeur None, est un énigmatique « Valeur par défaut du système ».
Est-ce qu'on ne voudrait pas pousser l'utilisation du nouveau paramètre plutôt que de l'ancien ?
On pourrait commencer par changer le paramétrage par défaut sur les nouvelles instances, histoire que le code tourne un peu ?
Associated revisions
History
Updated by Frédéric Péters over 1 year ago
Le libellé du choix par défaut, correspondant à la valeur None, est un énigmatique « Valeur par défaut du système ».
Oui c'est nul partout où on affiche ça.
Est-ce qu'on ne voudrait pas pousser l'utilisation du nouveau paramètre plutôt que de l'ancien ?
Perso oui; l'obstacle initial que je vois c'est une frilosité par rapport à des recommandations ANSSI qui n'ont pas encore absorbés celles du NIST et une frilosité de résponsables sécurité qui parfois n'ont même pas encore absorbé les recommandations de l'ANSSI (type ne pas forcer un renouvellement périodique). (mais on ne parle pas de retirer l'ancien code, on pourra toujours sur les instances où ce serait demandé, faire le changement).
Updated by Robot Gitea over 1 year ago
- Status changed from Nouveau to En cours
Valentin Deniaud (vdeniaud) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/83
- Titre : WIP: authenticators: enable password strength meter by default (#79072)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/83/files
Updated by Robot Gitea over 1 year ago
- Status changed from Solution proposée to Solution validée
Paul Marillonnet (pmarillonnet) a approuvé une pull request sur Gitea concernant cette demande :
Updated by Robot Gitea over 1 year ago
- Status changed from Solution validée to Résolu (à déployer)
Valentin Deniaud (vdeniaud) a mergé une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/83
- Titre : authenticators: enable password strength meter by default (#79072)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/83/files
Updated by Transition automatique over 1 year ago
- Status changed from Résolu (à déployer) to Solution déployée
authenticators: enable password strength meter by default (#79072)