Revision 20676527
[#156] Meilleure gestion des mots de passe.
Permet l'utilisation d'algorithmes moins vulnérables pour le hachage des
mots de passe (+ utilisation de salage et autres options), tout en
facilitant la migration entre les algorithmes.
Nécessite la bibliothèque Python "passlib".
Change-Id: I73fb75b1c9ec819952d65041cffcba2b09f21edc
Refs: #156
Reviewed-on: https://vigilo-dev.si.c-s.fr/review/1602
Tested-by: Build system <qa@vigilo-dev.si.c-s.fr>
Reviewed-by: Thomas BURGUIERE <thomas.burguiere@c-s.fr>
Reviewed-by: Francois POIROTTE <francois.poirotte@c-s.fr>
| deployment/settings.ini.in | ||
|---|---|---|
| 48 | 48 |
; 2 - Configuration des éléments de sécurité. |
| 49 | 49 |
; |
| 50 | 50 |
|
| 51 |
; Méthode de hachage des mots de passe. |
|
| 52 |
; Les méthodes suivantes sont supportées : md5,sha1. |
|
| 53 |
; ATTENTION : Si cette directive n'est pas renseignée |
|
| 54 |
; ou si la méthode indiquée est introuvable, les mots |
|
| 55 |
; de passe sont stockés en clair dans la base de données !! |
|
| 56 |
password_hashing_function = md5 |
|
| 51 |
; Liste des algorithmes de hachage des mots de passe acceptables, |
|
| 52 |
; séparés par des espaces. |
|
| 53 |
; |
|
| 54 |
; Le premier algorithme disponible parmi cette liste sera utilisé |
|
| 55 |
; pour hacher les nouveaux mots de passes ou pour mettre à jour |
|
| 56 |
; les condensats générés avec un ancien algorithme devenu obsolète. |
|
| 57 |
; |
|
| 58 |
; Les algorithmes supportés sont : |
|
| 59 |
; apr_md5_crypt, atlassian_pbkdf2_sha1, bcrypt, bigcrypt, bsdi_crypt, |
|
| 60 |
; crypt16, cta_pbkdf2_sha1, des_crypt, django_des_crypt, django_disabled, |
|
| 61 |
; django_salted_md5, django_salted_sha1, dlitz_pbkdf2_sha1, fshp, |
|
| 62 |
; grub_pbkdf2_sha512, hex_md4, hex_md5, hex_sha1, hex_sha256, hex_sha512, |
|
| 63 |
; ldap_bcrypt, ldap_bsdi_crypt, ldap_des_crypt, ldap_hex_md5, ldap_hex_sha1, |
|
| 64 |
; ldap_md5, ldap_md5_crypt, ldap_pbkdf2_sha1, ldap_pbkdf2_sha256, |
|
| 65 |
; ldap_pbkdf2_sha512, ldap_plaintext, ldap_salted_md5, ldap_salted_sha1, |
|
| 66 |
; ldap_sha1, ldap_sha1_crypt, ldap_sha256_crypt, ldap_sha512_crypt, |
|
| 67 |
; md5_crypt, mysql323, mysql41, nthash, oracle10, oracle11, pbkdf2_sha1, |
|
| 68 |
; pbkdf2_sha256, pbkdf2_sha512, phpass, plaintext, postgres_md5, |
|
| 69 |
; roundup_plaintext, sha1_crypt, sha256_crypt, sha512_crypt, sun_md5_crypt, |
|
| 70 |
; unix_fallback. |
|
| 71 |
; |
|
| 72 |
; Note : en fonction des bibliothèques installées sur le système et de leur |
|
| 73 |
; version, certains algorithmes peuvent ne pas être disponibles. |
|
| 74 |
; |
|
| 75 |
; Vérifiez régulièrement les canaux de communication dédiés à la sécurité |
|
| 76 |
; informatique pour vous assurer que les algorithmes listés ici sont toujours |
|
| 77 |
; considérés comme sûrs et les déplacer au besoin vers les algorithmes |
|
| 78 |
; listés dans "deprecated_password_schemes". |
|
| 79 |
password_schemes=sha256_crypt |
|
| 80 |
|
|
| 81 |
; Liste des algorithmes de hachage des mots de passe devenus obsolètes, |
|
| 82 |
; séparés par des espaces. |
|
| 83 |
; |
|
| 84 |
; Note : un mot de passe haché avec l'un de ces algorithmes sera automatiquement |
|
| 85 |
; converti pour utiliser le premier algorithme disponible défini dans |
|
| 86 |
; l'option "password_schemes". |
|
| 87 |
; |
|
| 88 |
; Les algorithmes supportés sont les mêmes que pour l'option "password_schemes". |
|
| 89 |
deprecated_password_schemes=hex_md5 |
|
| 57 | 90 |
|
| 58 | 91 |
; La clé secrète utilisée pour chiffrer/déchiffrer la session. |
| 59 | 92 |
; Vous DEVEZ changer cette valeur avant la mise en production. |
Also available in: Unified diff