Impressum

Sécurité des mots de passe : intégration dans SPIP et dans SARKA des recommandations pour leur création

jeudi 7 octobre 2010
par  François Daniel Giezendanner
popularité : 100%
0 vote

 Présentation

Les administrateurs, rédacteurs et visiteurs authentifiés nous demandent souvent quelles sont les règles à utiliser pour créer les mots de passe.

Par soucis d’information systématique nous avons décidé de fournir cette information aux utilisateurs directement dans le déroulement de démarches liées au opérations qu’ils effectuent avec les mots de passe en intervenant dans le code de Sarka-SPIP et de SPIP 2.0.x & SPIP 2.1.x.

Voici une manière très simple de procéder :


 Recommandations à afficher

Il s’agit d’afficher le texte ci-dessous sur plusieurs pages concernées du site.

 RAPPEL

 Recommandations pour la création de votre de mot de passe :

  1. Longueur minimale du mot de passe : 8
  2. Nombre minimal de chiffres : 1
  3. Nombre minimal de caractères minuscules : 1
  4. Nombre minimal de caractères majuscules : 1
  5. Nombre minimal de caractères non alphanumériques : 1

 Le mot de passe :

  1. Doit utiliser un mélange de chiffres, lettres et caractères spéciaux
  2. Ne doit pas contenir de mot commun ni le nom de l’utilisateur
  3. Ne doit pas contenir de chaîne trop simple (suite de chiffre, suite du même caractère, etc.)

Sur la page de login (connexion), nous ajoutons :

Si votre mot de passe ne répond pas à ces conditions,
nous vous suggérons de le changer en cliquant sur le lien [mot de passe oublié ?] ci-dessus !


 Fichiers à compléter

Les fichiers à compléter avec ce fragment sont :

/spip-2-0-12/plugins/sarka-spip3-0-4/login-public.html (dans Sarka-SPIP 3.0.4)
/spip-2-0-12/prive/spip_pass.html (dans SPIP 2)
/spip-2-0-12/prive/formulaire/editer_auteur.html (dans SPIP 2)


 Code HTML

Le fragment de code html à ajouter au fichier login-public.html est :

<hr style="width: 100%; height: 2px;"><strong>RAPPEL</strong><br /><br />
<strong>Recommandations pour la création de votre de mot de passe :</strong><br />
<ol>
 <li><strong>-</strong> Longueur minimale du mot de passe : 8</li>
 <li><strong>-</strong> Nombre minimal de chiffres : 1</li>
 <li><strong>-</strong> Nombre minimal de caractères minuscules : 1</li>
 <li><strong>-</strong> Nombre minimal de caractères majuscules : 1</li>
 <li><strong>-</strong> Nombre minimal de caractères non alphanumériques : 1</li>
</ol>
&nbsp;<br />
<strong>Le mot de passe :</strong><br /><ol>
 <li><strong>-</strong> Doit utiliser un mélange de chiffres, lettres et caractères spéciaux</li>
 <li><strong>-</strong> Ne doit pas contenir de mot commun ni le nom de l&#8217;utilisateur</li>
 <li><strong>-</strong> Ne doit pas contenir de chaîne trop simple (suite de chiffre, suite du même caractère, etc.)</li>
</ol>
<br /><strong>Si votre mot de passe ne répond pas à ces conditions, </strong><br />
nous vous suggérons de le changer en cliquant sur le lien [mot de passe oublié ?] ci-dessus !<br />
<hr style="width: 100%; height: 2px;">

il est à placer sous les lignes de code 18 à 22 suivantes :

<div id="login_public" class="formulaire">
        [<div class="titre"><h1>(#CONFIG{sarkaspip_formulaires/titre_login1, <:sarkaspip:acceder_espace_membre:>})</h1></div>]
        [<div class="description">(#CONFIG{sarkaspip_formulaires/descriptif_login1}|propre)</div>]
        [(#LOGIN_PUBLIC)]               
</div>

Le fragment de code html à ajouter au fichier editer_auteur.html est :

<br /><br /><strong>RAPPEL</strong><br /><br />
<strong>Recommandations pour la création de votre de mot de passe :</strong><br />
<ol>- Longueur minimale du mot de passe : 8<br />
- Nombre minimal de chiffres : 1<br />
- Nombre minimal de caractères minuscules : 1<br />
- Nombre minimal de caractères majuscules : 1<br />
- Nombre minimal de caractères non alphanumériques : 1<br />
</ol>
&nbsp;<br />
<strong>Le mot de passe :</strong><br />
<ol>
- Doit utiliser un mélange de chiffres, lettres et caractères spéciaux<br />
- Ne doit pas contenir de mot commun ni le nom de l&#8217;utilisateur<br />
- Ne doit pas contenir de chaîne trop simple (suite de chiffre, suite du même caractère, etc.)<br />
</ol>
<br />

il est à ajouter sous les lignes 131 à 137 suivantes :

                                        <li class='editer_new_pass2'>
                                                        <label for='new_pass2'><:info_confirmer_passe:></label>[
                                                        <span class='erreur_message'>(#ENV**{erreurs}|table_valeur{new_pass2})</span>
                                                        ]<input type='password' autocomplete="off" class='password' name='new_pass2' id='new_pass2' value="" />
                                        </li>                       
                                ]
                                </ul>

Le fragment de code html à ajouter au fichier spip_pass.html est :

<hr style="width: 100%; height: 2px;"><strong>RAPPEL</strong><br /><br />
<strong>Recommandations pour la création de votre de mot de passe :</strong><br />
<ol>
 <li><strong>-</strong> Longueur minimale du mot de passe : 8</li>
 <li><strong>-</strong> Nombre minimal de chiffres : 1</li>
 <li><strong>-</strong> Nombre minimal de caractères minuscules : 1</li>
 <li><strong>-</strong> Nombre minimal de caractères majuscules : 1</li>
 <li><strong>-</strong> Nombre minimal de caractères non alphanumériques : 1</li>
</ol>
&nbsp;<br />
<strong>Le mot de passe :</strong><br /><ol>
 <li><strong>-</strong> Doit utiliser un mélange de chiffres, lettres et caractères spéciaux</li>
 <li><strong>-</strong> Ne doit pas contenir de mot commun ni le nom de l&#8217;utilisateur</li>
 <li><strong>-</strong> Ne doit pas contenir de chaîne trop simple (suite de chiffre, suite du même caractère, etc.)</li>
</ol>
<hr style="width: 100%; height: 2px;">

il est à ajouter sous les lignes 43 à 46 suivantes :

        <noscript>
                &#91;<a href='./'><:pass_retour_public:></a>&#93;
        </noscript>
        </div>

 Fichiers complétés pour la version SPIP 2.0.12

Les fichiers complétés avec ces fragments sont :

/spip-2-0-12//plugins/sarka-spip3-0-4/login-public.html (dans Sarka-SPIP 3.0.4)
/spip-2-0-12/prive/spip_pass.html (dans SPIP 2)
/spip-2-0-12/prive/formulaire/editer_auteur.html (dans SPIP 2)

HTML - 3.3 ko
Fichier login-public.html de SARKA
HTML - 2.7 ko
Fichier spip_pass.html pour SPIP 2.0.12
HTML - 8.2 ko
Fichier editer_auteur.html pour SPIP 2.0.12

L’adjonction du code html :

  • dans le fichier login-public.html fait apparaître la recommandation sur 1 écran de l’espace publique ;
  • dans le fichier spip_pass.html fait apparaître la recommandation sur 4 écrans successifs de l’espace publique.
  • dans le fichier editer_auteur.html fait apparaître la recommandation sur l’écran de création renseignement d’un auteur (espace privé).

 Les écrans complétés

Ainsi ce texte est affichés sur les pages suivantes :

1) Lors de la création renseignement d’un auteur (espace privé)

JPEG - 180.2 ko

2) Lors de la connexion au site SPIP :

Le message de Recommandations apparaît sur cet écran :

JPEG - 393.8 ko

Ainsi, lorsque l’utilisateur veut se connecter, il peut vérifier si son mot de passe est en conformité avec les recommandations, sinon, la phrase incitative suivante devrait produire son effet :

Si votre mot de passe ne répond pas à ces conditions,
nous vous suggérons de le changer en cliquant sur le lien [mot de passe oublié ?] ci-dessus !

3) Mot de passe oublié :

L’utilisateur a oublié son mot de passe, il clique alors sur le lien :

  • [mot de passe oublié ?]

L’écran suivant lui demande d’indiquer son adresse e-mail et affiche les Recommandations :

JPEG - 124 ko

4) L’utilisateur est avertit qu’il recevra un e-mail

Message informant l’utilisateur qu’il recevra un email et lui indique les Recommandations :

JPEG - 124.4 ko

5) L’utilisateur reçoit l’e-mail

====Message d’origine====
De : xyz
Envoyé : jeudi, 7. octobre 2010 16:00
À : Giezendanner François (EDU)
Objet : [CMS-SPIP] Oubli du mot de passe

Vous allez recevoir un email vous indiquant comment retrouver votre accès au site :

(ceci est un message automatique)
Pour retrouver votre accès au site CMS-SPIP (http://icpdev.ge.ch/spip02/)

Veuillez vous rendre à l’adresse suivante :

http://icpdev.ge.ch/spip02/spip.php....

Vous pourrez alors entrer un nouveau mot de passe et vous reconnecter au site.

6) L’utilisateur indique son nouveau mot de passe

Le message de Recommandations apparaît sur cet écran :

JPEG - 126.5 ko

7) Le nouveau mot de passe est enregistré

Le message de Recommandations apparaît sur cet écran :

JPEG - 131.5 ko

 Informations complémentaires


Publications

Derniers articles publiés

Agenda

<<

2017

 

<<

Juillet

 

Aujourd'hui

LuMaMeJeVeSaDi
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456
Aucun évènement à venir les 6 prochains mois

Météo

Ville(SZXX0013)

Conditions météo à 0h0
par weather.com®

Inconnu

°C


Inconnu
  • Vent :  km/h - N/D
  • Pression :  mbar tendance symbole
Prévisions >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>

Prévisions du 22 juillet
par weather.com®

Inconnu

Max °C
Min °C


Inconnu
  • Vent :  km/h
  • Risque de precip. : %
<<  Prévisions  >>


Annonces

Embed Twitter « responsive tools »

Pour le faire sur votre site


Embed Twitter « RWD »

Pour le faire sur votre site


Embed Twitter dans SPIP

Pour le faire sur votre site


Sites favoris


4 sites référencés dans ce secteur