Project

General

Profile

Revision 51b64e26

ID51b64e2621be66815bd1ef0780785f5c7bb8a0d0
Parent 4232359e
Child 8a5d38ed

Added by Francois POIROTTE almost 9 years ago

[#156] Meilleure gestion des mots de passe.

Permet l'utilisation d'algorithmes moins vulnérables pour le hachage des
mots de passe (+ utilisation de salage et autres options), tout en
facilitant la migration entre les algorithmes.

Nécessite la bibliothèque Python "passlib".

Change-Id: Ic75afa5a2b12e5440979aeb42b1b598643cb82bc
Refs: #156
Reviewed-on: https://vigilo-dev.si.c-s.fr/review/1601
Tested-by: Build system <>
Reviewed-by: Thomas BURGUIERE <>
Reviewed-by: Francois POIROTTE <>

View differences:

deployment/settings.ini.in
48 48
; 2 - Configuration des éléments de sécurité.
49 49
;
50 50

  
51
; Méthode de hachage des mots de passe.
52
; Les méthodes suivantes sont supportées : md5,sha1.
53
; ATTENTION : Si cette directive n'est pas renseignée
54
; ou si la méthode indiquée est introuvable, les mots
55
; de passe sont stockés en clair dans la base de données !!
56
password_hashing_function = md5
51
; Liste des algorithmes de hachage des mots de passe acceptables,
52
; séparés par des espaces.
53
;
54
; Le premier algorithme disponible parmi cette liste sera utilisé
55
; pour hacher les nouveaux mots de passes ou pour mettre à jour
56
; les condensats générés avec un ancien algorithme devenu obsolète.
57
;
58
; Les algorithmes supportés sont :
59
;   apr_md5_crypt, atlassian_pbkdf2_sha1,  bcrypt, bigcrypt, bsdi_crypt,
60
;   crypt16, cta_pbkdf2_sha1, des_crypt, django_des_crypt, django_disabled,
61
;   django_salted_md5, django_salted_sha1, dlitz_pbkdf2_sha1, fshp,
62
;   grub_pbkdf2_sha512, hex_md4, hex_md5, hex_sha1, hex_sha256, hex_sha512,
63
;   ldap_bcrypt, ldap_bsdi_crypt, ldap_des_crypt, ldap_hex_md5, ldap_hex_sha1,
64
;   ldap_md5, ldap_md5_crypt, ldap_pbkdf2_sha1, ldap_pbkdf2_sha256,
65
;   ldap_pbkdf2_sha512, ldap_plaintext, ldap_salted_md5, ldap_salted_sha1,
66
;   ldap_sha1, ldap_sha1_crypt, ldap_sha256_crypt, ldap_sha512_crypt,
67
;   md5_crypt, mysql323, mysql41, nthash, oracle10, oracle11, pbkdf2_sha1,
68
;   pbkdf2_sha256, pbkdf2_sha512, phpass, plaintext, postgres_md5,
69
;   roundup_plaintext, sha1_crypt, sha256_crypt, sha512_crypt, sun_md5_crypt,
70
;   unix_fallback.
71
;
72
; Note : en fonction des bibliothèques installées sur le système et de leur
73
;        version, certains algorithmes peuvent ne pas être disponibles.
74
;
75
; Vérifiez régulièrement les canaux de communication dédiés à la sécurité
76
; informatique pour vous assurer que les algorithmes listés ici sont toujours
77
; considérés comme sûrs et les déplacer au besoin vers les algorithmes
78
; listés dans "deprecated_password_schemes".
79
password_schemes=sha256_crypt
80

  
81
; Liste des algorithmes de hachage des mots de passe devenus obsolètes,
82
; séparés par des espaces.
83
;
84
; Note : un mot de passe haché avec l'un de ces algorithmes sera automatiquement
85
;        converti pour utiliser le premier algorithme disponible défini dans
86
;        l'option "password_schemes".
87
;
88
; Les algorithmes supportés sont les mêmes que pour l'option "password_schemes".
89
deprecated_password_schemes=hex_md5
57 90

  
58 91
; La clé secrète utilisée pour chiffrer/déchiffrer la session.
59 92
; Vous DEVEZ changer cette valeur avant la mise en production.

Also available in: Unified diff