Mots de passe expirables - commentairesMots de passe expirables2023-09-06T16:35:53Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5139842023-09-06T16:35:53Z<p>Bonsoir</p>
<p>par défaut c'est 30 jours</p>
<p>peu t'on augmenter le nombre de jour par un define dans mes_options.php</p>
<p>pour que tous les sites de la mutualisation est la même durée et non pas chaque site via la configuration du plugin</p>
<p>merci pour votre éclairage</p>Mots de passe expirables2023-08-29T12:24:59Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5139552023-08-29T12:24:59Z<p>Je viens de le faire avec la version 1.3.1 du plugin dont le zip devrait être disponible d'ici quelques heures.</p>Mots de passe expirables2023-08-29T06:51:14Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5139512023-08-29T06:51:14Z<p>Il y a peu de changement entre la 4.1 et la 4.2, donc cela devrait sans doute marcher. A tester en modifiant manuellement le paquet.xml.</p>Mots de passe expirables2023-08-29T05:53:10Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5139502023-08-29T05:53:10Z<p>Bonjour, même question<small class="fine d-inline"> </small>! Ce plugin sera-t-il porté sur SPIP 4.2<small class="fine d-inline"> </small>?<br class="autobr">
Merci d'avance</p>Mots de passe expirables2021-08-20T06:43:57Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5090362021-08-20T06:43:57Z<p>Merci bcp,<br class="autobr">
pour le moment ça roule.<br class="autobr">
Merci encore</p>Mots de passe expirables2021-08-19T14:26:34Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5090302021-08-19T14:26:34Z<p>Je viens de sortir la version du plugin 1.2.0 compatible avec SPIP 4.0<br class="autobr">
Merci de vos retours si cela fonctionne bien chez vous aussi.</p>Mots de passe expirables2021-08-18T07:23:04Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5090232021-08-18T07:23:04Z<p>Merci de votre réponse</p>Mots de passe expirables2021-08-18T07:21:31Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5090222021-08-18T07:21:31Z<p>Hello. <br class="autobr">
Il faut juste prendre le temps de vérifier si cela fonctionne bien en SPIP 4.0<br class="autobr">
Je m'en charge quand je trouverai un peu de temps libre.</p>Mots de passe expirables2021-08-18T07:17:32Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5090192021-08-18T07:17:32Z<p>Bonjour, ce plugin sera-t-il porté sur SPIP 4<small class="fine d-inline"> </small>?</p>Mots de passe expirables2021-01-22T14:00:31Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5073482021-01-22T14:00:31Z<p>Techniquement je ne sais pas comment on pourrait faire cependant, vu que les mots de passé sont chiffrés avec un salage qui change à chaque connexion. (Pour des raisons historiques, pour éviter que les mots de passes transitent en clair à l'époque où le https était rare).</p>
<p>Il faudrait garder à chaque changement de mot de passe le sel + la valeur chiffré, et tester à chaque fois toutes les combinaisons<small class="fine d-inline"> </small>?</p>Mots de passe expirables2021-01-22T13:54:30Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5073472021-01-22T13:54:30Z<p>Non, mais cela serait un plus d'ajouter la fonctionnalité :)</p>Mots de passe expirables2021-01-22T13:23:40Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment5073462021-01-22T13:23:40Z<p>Salut,<br class="autobr">
est ce que le plugin empêche de réutiliser un mot de passe déjà utilisé<small class="fine d-inline"> </small>?</p>Mots de passe expirables2016-02-19T22:49:50Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment4861002016-02-19T22:49:50Z<p>salut</p>
<p>le plugin a bloqué tous les accès au backoffice de spipfactory.om, les admins ne pouvaient plus se connecter.<br class="autobr">
a chaque tentative spip nous refusait les passes et a la question « mot de passe oublié » on ne recevait plus rien..<br class="autobr">
il a fallut virer le plugin de la mutu et aller dans phpmyadmin, nettoyer la table auteur et réinjecter <br class="autobr">
une ancienne table auteur pour avoir de nouveau accés....<br class="autobr">
a part ça rien compris du pourquoi du comment :o))<br class="autobr">
voila voila pour l'info<br class="autobr">
amicalement<br class="autobr">
momo</p>Mots de passe expirables2014-02-11T12:15:37Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment4738212014-02-11T12:15:37Z<p>Ce module est très intéressant dans le cas de la sécurité des mots de passe.</p>
<p>Il est également très intéressant pour moi (et d'autres<small class="fine d-inline"> </small>?) dans le cas d'un auteur temporaire. Certaines fois un auteur ne doit avoir un accès que pendant une période limitée. J'ai souvent la demande.</p>
<p>En supprimant le mot de passe au bout d'une période donnée, ce plugin peut devenir un point central de spip dans sa gestion éditoriale et sa sécurité.</p>Mots de passe expirables2013-11-20T13:03:11Zhttps://contrib.spip.net/Mots-de-passe-expirables-4425#comment4723062013-11-20T13:03:11Z<p>Attention, le fait d'envoyer un mail automatiquement lorsque le mot de passe est périmé me semble être une pratique qui va à l'encontre de la sécurité : ce mail permet a qui veut de re-générer un mot de passe.</p>
<p>Le fait de l'envoyer à quelqu'un qui n'en a pas forcément besoin tout de suite indique que le mail à toutes les chances de dormir dans la boite mail pendant longtemps, augmentant les chances d'une utilisation frauduleuse (que ce soit par détournement du mail, ou par brute-force sur l'url avec jeton). C'est comme laisser ses clés sous le paillasson en permanence.</p>
<p>Qui plus est, cela va endormir la vigilance de l'utilisateur qui ne fera plus attention à ce type de mail, et cela rend plus facile pour un attaquant des attaques de type « mot de passe oublié » (qui reposent certes sur un accès à la boite mail ou au serveur de mail).</p>
<p>Je pense que si le mot de passe est invalidé, la génération du jeton et l'envoi du mail de regénération du mot de passe ne devraient se faire qu'à la demande de l'utilisateur (c'est à dire quand il en a besoin immédiatement).</p>
<p>Pour le coup, je pense que cela revient quasiment à la solution qui me semble meilleure dans cette direction : à savoir supprimer le mot de passe, et envoyer un mail avec une URL unique à chaque demande de login de l'utilisateur.</p>