Plugin Mot de Passe Compliqué

Vérifier la robustesse des mots de passe

Ce plugin ajoute un testeur de robustesse (complexité) des mot de passes dans les formulaires de choix de mot de passe de SPIP.

De la force d’un mot de passe

Des articles montrent qu’utiliser un nombre de caractères réduit permet à un attaquant bien équipé de découvrir un mot de passe de 8 caractères, par pure force brute en un maximum d’une heure et demie.

Il est pourtant facile d’utiliser des phrases ou des combinaisons de chiffres, lettres et caractères spéciaux pour rendre la tâche bien plus complexe aux attaquants. Le problème, c’est de savoir quand on a un mot de passe assez robuste et de l’indiquer aux utilisateurs qui s’enregistrent sur votre site.

Le plugin

Ce plugin offre un affichage graphique en dessous des formulaires de spécification et changement de mot de passe de SPIP qui donne une indication de la “force” d’un mot de passe en le classant dans 4 catégories :

  • faible
  • moyen
  • fort
  • très fort

Attention :
Le plugin ne force jamais l’utilisateur à utiliser un certain mot de passe, mais donne juste une indication de sa force.

Vous pouvez configurer le plugin pour spécifier une longueur minimale recommandée ainsi qu’une liste de mots « commun » qui rendront le mot de passe faible s’ils sont utilisés.

À propos

Le plugin utilise le script Password Strength Meter pour jQuery pour tester la force d’un mot de passe. L’algorithme de test donne un score au mot de passe en fonction de :

  • s’il utilise un mélange de chiffres, lettres et caractères spéciaux
  • si ce mélange est assez homogène
  • la longueur du mot de passe
  • s’il ne contient pas de mot commun ni le nom de l’utilisateur
  • s’il ne contient pas de chaîne trop simple (suite de chiffre, suite du même caractère, etc.)

Complément possible

Vous serez peut être intéressé par le plugin "Mot de passe complexe" qui, lui, oblige l’emploi de mot de passe robustes.

Discussion

6 discussions

  • 1

    Bonjour, ce plugin sera-t-il porté sur SPIP 4 ?

    • Je viens d’envoyer une version 1.1.0 compatible SPIP 4 & PHP 8, elle sera dispo dans les zips prochainement :)

    Répondre à ce message

  • 4

    Bonjour.

    Une suggestion : pour la liste des mots communs interdits, il faudrait plutôt un TEXTAREA pour permettre d’entrer plus facilement plus de mots.

    Merci.

    • Il y a une version spip 3 dans les tuyaux ?

    • Salut Yannick, je n’ai pas prévu pour l’instant de passage du plugin en spip 3, mais le portage ne devrait pas être très compliqué. Si quelqu’un est motivé pour le faire, go go go. Sinon je le ferai peut être quand j’aurai un moment pour ça ;)

    • bon je suis motivé
      mais je rame :

      quand j’injecte le code dans une page ./ecrire/ ?exec=auteur_edit&id_auteur=1
      la fonction jquery n’est pas active
      si je recharge la page (F5) alors la fonction s’active

      quand j’injecte le même code dans la la page ./ecrire/ ?exec=auteur&id_auteur=1
      alors la même fonction est tout de suite active

      la fonction de test :

      <script type="text/javascript"><!--
         $(document).ready(function() {
            alert("document ready was called");
         });
      --></script>

      ça fait pareil avec n’importe quelle page qui édite un objet...

      une idée ?

    • Bonjour,

      Une version pour SPIP 3 arrive.
      Reste à laisser le zip se faire.

    Répondre à ce message

  • 1
    François Daniel Giezendanner

    Bonjour,

    Excellent plugin, Bravo !

    J’en parle ici :

    Je l’ai essayé sur SPIP 2.1.x, on peut le configurer avec CFG, il ne fonctionne pas mais il ne provoque pas de dysfonctionnements !

    « Comment, quand » envisagez-vous son adaptation pour SPIP 2.1.x

    Cordialement

    FDG

    Répondre à ce message

  • 2

    J’ai installé ce plug-in et le cfg, aucun problème pour saisir le mot de passe d’un utilisateur en privé mais par contre le formulaire d’oubli de mot de passe sur la partie publique ne fonctionne plus et j’ai le message suivant :

    « Erreur : ce code ne correspond à aucun des visiteurs ayant accès à ce site. »

    • Marc VALLETEAU de MOULLIAC

      Je confirme, une fois le plugin installé, impossible d’afficher le formulaire de gestion de mot de passe perd, avec le même message ... Une petite piste ? Merci.
      Marc

    • Ok, bien vue. Je viens juste de trouver le temps de corriger cela. J’ai mis à jour le plugin sur la zone et le paquet lié à cet article devrait se mettre à jour dans un instant. Si vous pouvez me dire si ça marche pour vous...

    Répondre à ce message

  • 8
    admin Equipe UNSS Voile

    plugin très intéressant, je viens de l’installer sur mon site sous spip 1.9.2c
    et je ne peux plus avoir accès au information du l’utilisateur (page blanche).

    http://.../ecrire/?exec=auteur_infos&id_auteur=1

    je désactive le plugin et ça refonctionne

    merci d’avance

    • Bonjour,

      Je viens de tester le plugin sur une 192c (10268) gavée de plugin et je ne rencontre pas le problème que tu décris. As-tu beaucoup de plugins activés sur ton site ? Quels sont ces plugins ? As-tu des informations à propos du bug dans le fichier spip.log ?

      Bon courage ++

    • Admin Equipe UNSS Voile

      mes plugins :
      Le Couteau Suisse
      En travaux
      licence
      Notation des articles
      Squelette editeur
      SLOGAN
      Tableau de Bord
      Thickbox v2

      il n’a a pas besoin d’inscrire du code ?

      spip.log peut tu éclaircir, comment on y accède ?

      merci d’avance

    • Re,

      Le fichier spip.log se trouve dans le répertoire /tmp de ton site.

      ++

    • Admin Equipe UNSS Voile

      je l’ai vu mais inaccessible sous firefox.

      comment faire ?

    • idem :

      Fatal error: Call to undefined function: lire_config() in /mnt/120/free.fr/5/f/ulysse.saloff/plugins/passe_complexe/inc/passe_complexe.php on line 17

    • Il faut absolument installer le plugin CFG avec ce plugin.

    • merci pour ta réponse mortimer

    • Admin Equipe UNSS Voile

      pout le CFG je ne comprend pas du tout comment l’installer même aprés avoir visiter les différents articles sur spip-contrib.

      merci d’avance

    Répondre à ce message

  • Bonjour,

    Existe-il une plug-in permettant de configurer la manière dont sont gérés les mots de passe sur Spip.
    Un exemple :
    nous souhaitons instaurer un système de réinitialisation automatique des mots de passe , tous les 3 mois les utilisateurs doivent les changer pour des question de sécurité.
    Jusque là tout va bien.
    Le problème vient du fait qu’avant de choisir son nouveau mot de passe, après envoi du lien vers la page de changement de mdp par email, l’utilisateur doit resaisir son ancien mot de passe pour confirmer que c’est bien lui et lui seul qui fait cette démarche.
    Un peu tordu comme histoire...

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom