Principe
Le plugin ré-initialise les mots de passe des comptes auteurs au bout d’une période donnée.
La période par défaut est de 30 jours mais vous pouvez l’éditer dans le panel de configuration.
Vous pouvez aussi choisir quels auteurs sont concernés par ce plugin : Administrateurs, rédacteurs et / ou visiteurs (forums). Par défaut, on ré-initialise uniquement les administrateurs et rédacteurs.
Lorsqu’un auteur voit son mot de passe supprimé, on lui envoie un email l’invitant à saisir un nouveau mot de passe.
Avertissement
Attention, le plugin peut donc vous retirer l’accès à votre site !
Pensez à vérifier que la fonction email fonctionne bien sur votre serveur et que les auteurs renseignent bien le champs email afin de pouvoir recevoir l’invitation à renouveler leur mot de passe.
Discussions par date d’activité
7 discussions
Bonsoir
par défaut c’est 30 jours
peu t’on augmenter le nombre de jour par un define dans mes_options.php
pour que tous les sites de la mutualisation est la même durée et non pas chaque site via la configuration du plugin
merci pour votre éclairage
Répondre à ce message
Bonjour, même question ! Ce plugin sera-t-il porté sur SPIP 4.2 ?
Merci d’avance
Il y a peu de changement entre la 4.1 et la 4.2, donc cela devrait sans doute marcher. A tester en modifiant manuellement le paquet.xml.
Je viens de le faire avec la version 1.3.1 du plugin dont le zip devrait être disponible d’ici quelques heures.
Répondre à ce message
Bonjour, ce plugin sera-t-il porté sur SPIP 4 ?
Hello.
Il faut juste prendre le temps de vérifier si cela fonctionne bien en SPIP 4.0
Je m’en charge quand je trouverai un peu de temps libre.
Merci de votre réponse
Je viens de sortir la version du plugin 1.2.0 compatible avec SPIP 4.0
Merci de vos retours si cela fonctionne bien chez vous aussi.
Merci bcp,
pour le moment ça roule.
Merci encore
Répondre à ce message
Salut,
est ce que le plugin empêche de réutiliser un mot de passe déjà utilisé ?
Non, mais cela serait un plus d’ajouter la fonctionnalité :)
Techniquement je ne sais pas comment on pourrait faire cependant, vu que les mots de passé sont chiffrés avec un salage qui change à chaque connexion. (Pour des raisons historiques, pour éviter que les mots de passes transitent en clair à l’époque où le https était rare).
Il faudrait garder à chaque changement de mot de passe le sel + la valeur chiffré, et tester à chaque fois toutes les combinaisons ?
Répondre à ce message
salut
le plugin a bloqué tous les accès au backoffice de spipfactory.om, les admins ne pouvaient plus se connecter.
a chaque tentative spip nous refusait les passes et a la question « mot de passe oublié » on ne recevait plus rien..
il a fallut virer le plugin de la mutu et aller dans phpmyadmin, nettoyer la table auteur et réinjecter
une ancienne table auteur pour avoir de nouveau accés....
a part ça rien compris du pourquoi du comment :o))
voila voila pour l’info
amicalement
momo
Répondre à ce message
Ce module est très intéressant dans le cas de la sécurité des mots de passe.
Il est également très intéressant pour moi (et d’autres ?) dans le cas d’un auteur temporaire. Certaines fois un auteur ne doit avoir un accès que pendant une période limitée. J’ai souvent la demande.
En supprimant le mot de passe au bout d’une période donnée, ce plugin peut devenir un point central de spip dans sa gestion éditoriale et sa sécurité.
Répondre à ce message
Attention, le fait d’envoyer un mail automatiquement lorsque le mot de passe est périmé me semble être une pratique qui va à l’encontre de la sécurité : ce mail permet a qui veut de re-générer un mot de passe.
Le fait de l’envoyer à quelqu’un qui n’en a pas forcément besoin tout de suite indique que le mail à toutes les chances de dormir dans la boite mail pendant longtemps, augmentant les chances d’une utilisation frauduleuse (que ce soit par détournement du mail, ou par brute-force sur l’url avec jeton). C’est comme laisser ses clés sous le paillasson en permanence.
Qui plus est, cela va endormir la vigilance de l’utilisateur qui ne fera plus attention à ce type de mail, et cela rend plus facile pour un attaquant des attaques de type « mot de passe oublié » (qui reposent certes sur un accès à la boite mail ou au serveur de mail).
Je pense que si le mot de passe est invalidé, la génération du jeton et l’envoi du mail de regénération du mot de passe ne devraient se faire qu’à la demande de l’utilisateur (c’est à dire quand il en a besoin immédiatement).
Pour le coup, je pense que cela revient quasiment à la solution qui me semble meilleure dans cette direction : à savoir supprimer le mot de passe, et envoyer un mail avec une URL unique à chaque demande de login de l’utilisateur.
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |