Mots de passe expirables - comments Mots de passe expirables 2016-02-19T22:49:50Z https://files.spip.org/Mots-de-passe-expirables-4425#comment486100 2016-02-19T22:49:50Z <p>salut</p> <p>le plugin a bloqué tous les accès au backoffice de spipfactory.om, les admins ne pouvaient plus se connecter.<br class="autobr" /> a chaque tentative spip nous refusait les passes et a la question “mot de passe oublié” on ne recevait plus rien..<br class="autobr" /> il a fallut virer le plugin de la mutu et aller dans phpmyadmin, nettoyer la table auteur et réinjecter <br class="autobr" /> une ancienne table auteur pour avoir de nouveau accés....<br class="autobr" /> a part ça rien compris du pourquoi du comment :o))<br class="autobr" /> voila voila pour l'info<br class="autobr" /> amicalement<br class="autobr" /> momo</p> Mots de passe expirables 2014-02-11T12:15:37Z https://files.spip.org/Mots-de-passe-expirables-4425#comment473821 2014-02-11T12:15:37Z <p>Ce module est très intéressant dans le cas de la sécurité des mots de passe.</p> <p>Il est également très intéressant pour moi (et d'autres ?) dans le cas d'un auteur temporaire. Certaines fois un auteur ne doit avoir un accès que pendant une période limitée. J'ai souvent la demande.</p> <p>En supprimant le mot de passe au bout d'une période donnée, ce plugin peut devenir un point central de spip dans sa gestion éditoriale et sa sécurité.</p> Mots de passe expirables 2013-11-20T13:03:11Z https://files.spip.org/Mots-de-passe-expirables-4425#comment472306 2013-11-20T13:03:11Z <p>Attention, le fait d'envoyer un mail automatiquement lorsque le mot de passe est périmé me semble être une pratique qui va à l'encontre de la sécurité : ce mail permet a qui veut de re-générer un mot de passe.</p> <p>Le fait de l'envoyer à quelqu'un qui n'en a pas forcément besoin tout de suite indique que le mail à toutes les chances de dormir dans la boite mail pendant longtemps, augmentant les chances d'une utilisation frauduleuse (que ce soit par détournement du mail, ou par brute-force sur l'url avec jeton). C'est comme laisser ses clés sous le paillasson en permanence.</p> <p>Qui plus est, cela va endormir la vigilance de l'utilisateur qui ne fera plus attention à ce type de mail, et cela rend plus facile pour un attaquant des attaques de type “mot de passe oublié” (qui reposent certes sur un accès à la boite mail ou au serveur de mail).</p> <p>Je pense que si le mot de passe est invalidé, la génération du jeton et l'envoi du mail de regénération du mot de passe ne devraient se faire qu'à la demande de l'utilisateur (c'est à dire quand il en a besoin immédiatement).</p> <p>Pour le coup, je pense que cela revient quasiment à la solution qui me semble meilleure dans cette direction : à savoir supprimer le mot de passe, et envoyer un mail avec une URL unique à chaque demande de login de l'utilisateur.</p>