Revision 51b64e26
[#156] Meilleure gestion des mots de passe.
Permet l'utilisation d'algorithmes moins vulnérables pour le hachage des
mots de passe (+ utilisation de salage et autres options), tout en
facilitant la migration entre les algorithmes.
Nécessite la bibliothèque Python "passlib".
Change-Id: Ic75afa5a2b12e5440979aeb42b1b598643cb82bc
Refs: #156
Reviewed-on: https://vigilo-dev.si.c-s.fr/review/1601
Tested-by: Build system <qa@vigilo-dev.si.c-s.fr>
Reviewed-by: Thomas BURGUIERE <thomas.burguiere@c-s.fr>
Reviewed-by: Francois POIROTTE <francois.poirotte@c-s.fr>
deployment/settings.ini.in | ||
---|---|---|
48 | 48 |
; 2 - Configuration des éléments de sécurité. |
49 | 49 |
; |
50 | 50 |
|
51 |
; Méthode de hachage des mots de passe. |
|
52 |
; Les méthodes suivantes sont supportées : md5,sha1. |
|
53 |
; ATTENTION : Si cette directive n'est pas renseignée |
|
54 |
; ou si la méthode indiquée est introuvable, les mots |
|
55 |
; de passe sont stockés en clair dans la base de données !! |
|
56 |
password_hashing_function = md5 |
|
51 |
; Liste des algorithmes de hachage des mots de passe acceptables, |
|
52 |
; séparés par des espaces. |
|
53 |
; |
|
54 |
; Le premier algorithme disponible parmi cette liste sera utilisé |
|
55 |
; pour hacher les nouveaux mots de passes ou pour mettre à jour |
|
56 |
; les condensats générés avec un ancien algorithme devenu obsolète. |
|
57 |
; |
|
58 |
; Les algorithmes supportés sont : |
|
59 |
; apr_md5_crypt, atlassian_pbkdf2_sha1, bcrypt, bigcrypt, bsdi_crypt, |
|
60 |
; crypt16, cta_pbkdf2_sha1, des_crypt, django_des_crypt, django_disabled, |
|
61 |
; django_salted_md5, django_salted_sha1, dlitz_pbkdf2_sha1, fshp, |
|
62 |
; grub_pbkdf2_sha512, hex_md4, hex_md5, hex_sha1, hex_sha256, hex_sha512, |
|
63 |
; ldap_bcrypt, ldap_bsdi_crypt, ldap_des_crypt, ldap_hex_md5, ldap_hex_sha1, |
|
64 |
; ldap_md5, ldap_md5_crypt, ldap_pbkdf2_sha1, ldap_pbkdf2_sha256, |
|
65 |
; ldap_pbkdf2_sha512, ldap_plaintext, ldap_salted_md5, ldap_salted_sha1, |
|
66 |
; ldap_sha1, ldap_sha1_crypt, ldap_sha256_crypt, ldap_sha512_crypt, |
|
67 |
; md5_crypt, mysql323, mysql41, nthash, oracle10, oracle11, pbkdf2_sha1, |
|
68 |
; pbkdf2_sha256, pbkdf2_sha512, phpass, plaintext, postgres_md5, |
|
69 |
; roundup_plaintext, sha1_crypt, sha256_crypt, sha512_crypt, sun_md5_crypt, |
|
70 |
; unix_fallback. |
|
71 |
; |
|
72 |
; Note : en fonction des bibliothèques installées sur le système et de leur |
|
73 |
; version, certains algorithmes peuvent ne pas être disponibles. |
|
74 |
; |
|
75 |
; Vérifiez régulièrement les canaux de communication dédiés à la sécurité |
|
76 |
; informatique pour vous assurer que les algorithmes listés ici sont toujours |
|
77 |
; considérés comme sûrs et les déplacer au besoin vers les algorithmes |
|
78 |
; listés dans "deprecated_password_schemes". |
|
79 |
password_schemes=sha256_crypt |
|
80 |
|
|
81 |
; Liste des algorithmes de hachage des mots de passe devenus obsolètes, |
|
82 |
; séparés par des espaces. |
|
83 |
; |
|
84 |
; Note : un mot de passe haché avec l'un de ces algorithmes sera automatiquement |
|
85 |
; converti pour utiliser le premier algorithme disponible défini dans |
|
86 |
; l'option "password_schemes". |
|
87 |
; |
|
88 |
; Les algorithmes supportés sont les mêmes que pour l'option "password_schemes". |
|
89 |
deprecated_password_schemes=hex_md5 |
|
57 | 90 |
|
58 | 91 |
; La clé secrète utilisée pour chiffrer/déchiffrer la session. |
59 | 92 |
; Vous DEVEZ changer cette valeur avant la mise en production. |
Also available in: Unified diff