Project

General

Profile

Développement #79072

Paramétrage par défaut de la force du mot de passe

Added by Valentin Deniaud over 1 year ago. Updated over 1 year ago.

Status:
Fermé
Priority:
Normal
Category:
-
Target version:
-
Start date:
26 June 2023
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Je tente un historique :
  • Il y a un paramétrage A2_PASSWORD_POLICY_MIN_CLASSES (« Minimum number of characters classes to be present in passwords ») qui est par défaut à 3. J'ai l'impression qu'il n'est personnalisé nulle part.
    Ça conduit à afficher en dessous du champ mot de passe « Pour la sécurité du mot de passe veuillez avoir a minima : 1 minuscule 1 chiffre 1 majuscule ».
  • Il y a eu un nouveau paramétrage A2_PASSWORD_POLICY_MIN_STRENGTH introduit par #63831. L'activation de ce paramètre remplace le précédent, et au lieu d'indiquer des critères précis à valider, sous le champ mot de passe il y a désormais un joli indicateur de force. C'est en revanche désactivé par défaut. Sur le SaaS, c'est activé sur une instance de recette, et nulle part en prod.
  • Ce dernier paramètre est, contrairement au précédent, exposé dans le BO (je viens de pousser #78232 qui ne fait que le déplacer).
  • Le libellé du choix par défaut, correspondant à la valeur None, est un énigmatique « Valeur par défaut du système ».

Est-ce qu'on ne voudrait pas pousser l'utilisation du nouveau paramètre plutôt que de l'ancien ?

On pourrait commencer par changer le paramétrage par défaut sur les nouvelles instances, histoire que le code tourne un peu ?

Associated revisions

Revision 4a0aeb90 (diff)
Added by Valentin Deniaud over 1 year ago

authenticators: enable password strength meter by default (#79072)

History

#1

Updated by Frédéric Péters over 1 year ago

Le libellé du choix par défaut, correspondant à la valeur None, est un énigmatique « Valeur par défaut du système ».

Oui c'est nul partout où on affiche ça.

Est-ce qu'on ne voudrait pas pousser l'utilisation du nouveau paramètre plutôt que de l'ancien ?

Perso oui; l'obstacle initial que je vois c'est une frilosité par rapport à des recommandations ANSSI qui n'ont pas encore absorbés celles du NIST et une frilosité de résponsables sécurité qui parfois n'ont même pas encore absorbé les recommandations de l'ANSSI (type ne pas forcer un renouvellement périodique). (mais on ne parle pas de retirer l'ancien code, on pourra toujours sur les instances où ce serait demandé, faire le changement).

#2

Updated by Valentin Deniaud over 1 year ago

  • Assignee set to Valentin Deniaud
#3

Updated by Robot Gitea over 1 year ago

  • Status changed from Nouveau to En cours

Valentin Deniaud (vdeniaud) a ouvert une pull request sur Gitea concernant cette demande :

#4

Updated by Robot Gitea over 1 year ago

  • Status changed from En cours to Solution proposée
#5

Updated by Robot Gitea over 1 year ago

  • Status changed from Solution proposée to Solution validée

Paul Marillonnet (pmarillonnet) a approuvé une pull request sur Gitea concernant cette demande :

#6

Updated by Robot Gitea over 1 year ago

  • Status changed from Solution validée to Résolu (à déployer)

Valentin Deniaud (vdeniaud) a mergé une pull request sur Gitea concernant cette demande :

#7

Updated by Transition automatique over 1 year ago

  • Status changed from Résolu (à déployer) to Solution déployée
#8

Updated by Transition automatique about 1 year ago

Automatic expiration

Also available in: Atom PDF