De la force d’un mot de passe
Des articles montrent qu’utiliser un nombre de caractères réduit permet à un attaquant bien équipé de découvrir un mot de passe de 8 caractères, par pure force brute en un maximum d’une heure et demie.
Il est pourtant facile d’utiliser des phrases ou des combinaisons de chiffres, lettres et caractères spéciaux pour rendre la tâche bien plus complexe aux attaquants. Le problème, c’est de savoir quand on a un mot de passe assez robuste et de l’indiquer aux utilisateurs qui s’enregistrent sur votre site.
Le plugin
Ce plugin offre un affichage graphique en dessous des formulaires de spécification et changement de mot de passe de SPIP qui donne une indication de la “force” d’un mot de passe en le classant dans 4 catégories :
- faible
- moyen
- fort
- très fort
Attention :
Le plugin ne force jamais l’utilisateur à utiliser un certain mot de passe, mais donne juste une indication de sa force.
Vous pouvez configurer le plugin pour spécifier une longueur minimale recommandée ainsi qu’une liste de mots « commun » qui rendront le mot de passe faible s’ils sont utilisés.
À propos
Le plugin utilise le script Password Strength Meter pour jQuery pour tester la force d’un mot de passe. L’algorithme de test donne un score au mot de passe en fonction de :
- s’il utilise un mélange de chiffres, lettres et caractères spéciaux
- si ce mélange est assez homogène
- la longueur du mot de passe
- s’il ne contient pas de mot commun ni le nom de l’utilisateur
- s’il ne contient pas de chaîne trop simple (suite de chiffre, suite du même caractère, etc.)
Complément possible
Vous serez peut être intéressé par le plugin "Mot de passe complexe" qui, lui, oblige l’emploi de mot de passe robustes.
Discussions par date d’activité
6 discussions
Bonjour, ce plugin sera-t-il porté sur SPIP 4 ?
Je viens d’envoyer une version 1.1.0 compatible SPIP 4 & PHP 8, elle sera dispo dans les zips prochainement :)
Répondre à ce message
Bonjour.
Une suggestion : pour la liste des mots communs interdits, il faudrait plutôt un TEXTAREA pour permettre d’entrer plus facilement plus de mots.
Merci.
Il y a une version spip 3 dans les tuyaux ?
Salut Yannick, je n’ai pas prévu pour l’instant de passage du plugin en spip 3, mais le portage ne devrait pas être très compliqué. Si quelqu’un est motivé pour le faire, go go go. Sinon je le ferai peut être quand j’aurai un moment pour ça ;)
bon je suis motivé
mais je rame :
quand j’injecte le code dans une page ./ecrire/ ?exec=auteur_edit&id_auteur=1
la fonction jquery n’est pas active
si je recharge la page (F5) alors la fonction s’active
quand j’injecte le même code dans la la page ./ecrire/ ?exec=auteur&id_auteur=1
alors la même fonction est tout de suite active
la fonction de test :
ça fait pareil avec n’importe quelle page qui édite un objet...
une idée ?
Bonjour,
Une version pour SPIP 3 arrive.
Reste à laisser le zip se faire.
Répondre à ce message
Bonjour,
Excellent plugin, Bravo !
J’en parle ici :
Je l’ai essayé sur SPIP 2.1.x, on peut le configurer avec CFG, il ne fonctionne pas mais il ne provoque pas de dysfonctionnements !
« Comment, quand » envisagez-vous son adaptation pour SPIP 2.1.x
Cordialement
FDG
Bonjour, voilà qui doit corriger le problème :
http://zone.spip.org/trac/spip-zone/changeset/41881
Cela devrait être bon dans la prochaine « tournée » de zips ++
Répondre à ce message
J’ai installé ce plug-in et le cfg, aucun problème pour saisir le mot de passe d’un utilisateur en privé mais par contre le formulaire d’oubli de mot de passe sur la partie publique ne fonctionne plus et j’ai le message suivant :
« Erreur : ce code ne correspond à aucun des visiteurs ayant accès à ce site. »
Je confirme, une fois le plugin installé, impossible d’afficher le formulaire de gestion de mot de passe perd, avec le même message ... Une petite piste ? Merci.
Marc
Ok, bien vue. Je viens juste de trouver le temps de corriger cela. J’ai mis à jour le plugin sur la zone et le paquet lié à cet article devrait se mettre à jour dans un instant. Si vous pouvez me dire si ça marche pour vous...
Répondre à ce message
plugin très intéressant, je viens de l’installer sur mon site sous spip 1.9.2c
et je ne peux plus avoir accès au information du l’utilisateur (page blanche).
http://.../ecrire/?exec=auteur_infos&id_auteur=1
je désactive le plugin et ça refonctionne
merci d’avance
Bonjour,
Je viens de tester le plugin sur une 192c (10268) gavée de plugin et je ne rencontre pas le problème que tu décris. As-tu beaucoup de plugins activés sur ton site ? Quels sont ces plugins ? As-tu des informations à propos du bug dans le fichier spip.log ?
Bon courage ++
mes plugins :
Le Couteau Suisse
En travaux
licence
Notation des articles
Squelette editeur
SLOGAN
Tableau de Bord
Thickbox v2
il n’a a pas besoin d’inscrire du code ?
spip.log peut tu éclaircir, comment on y accède ?
merci d’avance
Re,
Le fichier spip.log se trouve dans le répertoire /tmp de ton site.
++
je l’ai vu mais inaccessible sous firefox.
comment faire ?
idem :
Fatal error: Call to undefined function: lire_config() in /mnt/120/free.fr/5/f/ulysse.saloff/plugins/passe_complexe/inc/passe_complexe.php on line 17
Il faut absolument installer le plugin CFG avec ce plugin.
merci pour ta réponse mortimer
pout le CFG je ne comprend pas du tout comment l’installer même aprés avoir visiter les différents articles sur spip-contrib.
merci d’avance
Répondre à ce message
Bonjour,
Existe-il une plug-in permettant de configurer la manière dont sont gérés les mots de passe sur Spip.
Un exemple :
nous souhaitons instaurer un système de réinitialisation automatique des mots de passe , tous les 3 mois les utilisateurs doivent les changer pour des question de sécurité.
Jusque là tout va bien.
Le problème vient du fait qu’avant de choisir son nouveau mot de passe, après envoi du lien vers la page de changement de mdp par email, l’utilisateur doit resaisir son ancien mot de passe pour confirmer que c’est bien lui et lui seul qui fait cette démarche.
Un peu tordu comme histoire...
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |