Cherche extension pour affiner les options du mot de passe par groupe

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Cherche extension pour affiner les options du mot de passe par groupe

    Bonjour à tous,

    Existe-t-il une extension qui permet de gérer les options des mots de passe par groupe ?

    L’idée est d’éviter de faire fuir les futurs membres lambda à cause de règles draconiennes, mais de pouvoir imposer un certain niveau de sécurité aux modérateurs et autres membres de groupe ayant la main sur le contenu du site (j’ai trop vu de « 1234 » pour avoir une confiance aveugle).

    Merci.
    Dernière édition par Blue Fox à 01/07/2020, 07h05

  • #2
    Une solution pourrait être d'utiliser l'identification à deux facteurs, soit la version présente en standard dans Joomla, soit la versionproposée par Akeeba, Loginguard, beaucoup plus complète

    On peut choisir les utilisateurs concernés, c'est un peu plus contraignant que l'identification classique, mais ça apporte vraiment une couche de sécurité supplémentaire.

    Voir la doc sur https://docs.joomla.org/J3.x:Two_Fac...hentication/fr
    Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
    Confucius

    Commentaire


    • #3
      Bonsoir,

      Désolé de réagir au message de lesoutier mais avant d'imposer des solutions de d'identification à 2 facteurs à des personnes qui ne savent même se servir d'un clavier et encore moins d'installer une application smartphone (j'exagère à peine car j'ai vécu la même situation !), on peut les obliger à définir un minimum de sécurité sur leur compte sans extensions supplémentaire.

      Dans l'administration de votre site, cliquer sur utilisateurs dans le menu du même nom (donc utilisateurs) puis sur le bouton "paramètres" en haut à droite. Dans l'onglet "Paramètres de mot de passe", indiquer un nombre minimum de symbole, chiffre, majuscule et minuscule... Même à "1", cela oblige l'utilisateur de votre site à différentes combinaisons donc plus complexe que 1234 ! Voir capture d'écran : http://prntscr.com/t3yzeg

      En évitant de rendre fous les utilisateurs lambda sur la saisie de mot de passe, il existe plusieurs plugins pour améliorer la sécurité et l’expérience sans compromettre le confort, je vous propose de découvrir l'un de mes préférés.

      https://haveibeenpwned.com est un site qui indique si votre mail et mot de passe se retrouvent parmi les listes impressionnantes de millions de comptes piratés (cloudflare, linkedin, yahoo, etc..). Ceux qui ont l'habitude par exemple d'avoir le même mot de passe sur plusieurs sites peuvent avoir de mauvaises surprises ! Donc l'idée, c'est d'utiliser l'api de ce site dans une extension afin de de vérifier lors de la saisie d'un mot de passe que ce dernier n'existe pas déjà dans leurs bases (incluant les mots de passe les plus simples).

      Le plugin se nomme USER_HIPB (HIPB = Have I Been Pwned ?) disponible librement et gratuitement sur : https://github.com/Spudley/plg_user_hibp/releases
      - Télécharger et installer la dernière version zip
      - N'oubliez pas de l'activer dans votre liste d'extensions.

      Si l'utilisateur créé son compte ou change son mot de passe, la vérification est systématique (y compris sur le changement en backend)
      En cas de compte piraté, par exemple si j'utilise mon ancien mot de passe linkedin ou si je tape 1234, j'obtiens le message suivant (que l'on peut personnaliser) : http://prntscr.com/t3z5tu


      Désolé, le mot de passe que vous avez choisi n'est pas sûr, car il est connu pour avoir déjà été compromis. Cela a été vérifié à l'aide de l'API HaveIBeenPwned.com. Pour plus d'informations à ce sujet, veuillez consulter le site HaveIBeenPwned.com. En attendant, veuillez choisir un autre mot de passe.
      Voilà, l'opération est donc simple à réaliser ! non ? Afin que l'API ne soit pas malmené par trop de requêtes, il est préférable d'utiliser au minimum le recapcha invisible.

      Les conditions d'utilisation de l'API de haveibeenpwned et ses limites sont disponibles sur le site de troyhunt : https://www.troyhunt.com/the-have-i-...ommercial-use/
      Dernière édition par daneel à 22/06/2020, 08h02
      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

      Commentaire


      • #4
        Mon idée n'est pas d'imposer l'identification à deux facteurs à TOUS les utilisateurs, mais comme demandé par Blue Fox de sécuriser l'accès des modérateurs et gestionnaires qui a priori ne rentrent pas dans la catégorie des "personnes qui ne savent même se servir d'un clavier et encore moins d'installer une appli".
        En utilisant Loginguard d'Akeebabackup c'est totalement transparent pour les utilisateurs lambda, puisque l'authentification se fait en deux étapes et la demande de code de validation n'apparait pas pour les utilisateurs lambda.
        De plus comme je l'ai déja indiqué l'authentification à deux facteurs offre une sécurité bien supérieure à un couple identifiant /mot de passe seul.
        Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
        Confucius

        Commentaire


        • #5
          Envoyé par lesoutier Voir le message
          Mon idée n'est pas d'imposer l'identification à deux facteurs à TOUS les utilisateurs, mais comme demandé par Blue Fox ...
          De plus comme je l'ai déja indiqué l'authentification à deux facteurs offre une sécurité bien supérieure à un couple identifiant /mot de passe seul.
          Je ne dis pas le contraire mais sauf erreur, l'authentification 2FA nécessite une application comme google authenticator installé par exemple en app smartphone, pc ou mac ou en extension de navigateur. Les alternatives étant l'utilisation d'une clé comme yubikey ou autre authentification (les sms étant considérés comme faille de sécurité). En cas de perte de l'app, il faudra utiliser les codes de secours ce qui rend la situation un peu difficile pour ceux qui négligent la procédure d'activation.

          Donc oui c'est une solution plus sécurisée mais elle est un peu plus contraignante que la vérification du mot de passe d'où la proposition d'alternatives.
          Libre à chacun de faire son choix ou de combiner plusieurs solutions !

          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

          Commentaire


          • #6
            Bonsoir lesoutier et daneel et merci pour vos réponses et votre échange qui me permettent d'avoir une vision claire des deux méthodes.

            Pour les options de mot de passe natives dans Joomla, j'en avais fait le tour et c'est ce qui avait motivé ma question de départ. Dommage qu'aucun plugin n'ait été développé pour pouvoir définir ces options par groupe.

            Pour rebondir sur votre débat, j'ajoute qu'une personne qui rédige des articles ou qui en relit/corrige n'est pas forcément quelqu'un qui tâte en informatique.
            Je trouve vos deux idées intéressantes mais la mention de daneel à propos des sms qui sont considérés comme des failles de sécurité m'inquiète un peu (surtout parce que c'est la méthode utilisée sur infomaniak pour sécuriser l'accès au Manager , je pensais que c'était une méthode très sûre).

            Je vais aller zieuter du côté de USER_HIPB et voir aussi du côté du double accès.

            Merci encore pour votre aide.

            Commentaire


            • #7
              Hello,

              En fait les SMS ont des failles mais c'est assez rare. Pour les banques, elles bénéficient d'un sursis jusqu'en 2022 pour effectuer la transition dans l'application de la directive européenne. Le 3d secure (double authentification) est obligatoire mais le sms reste un moyen de confirmation encore valable pour l'instant. Pour plus d'infos, lire : https://www.ecommercemag.fr/Thematiq...vad-342274.htm

              Si quelques banques continuent donc de pratiquer l'envoi de sms-otp (one time password), rien d'étonnant que des sociétés comme infomaniak, ovh continuent d'utiliser le même système. D'ici 2-3 ans, rien n'est moins sur...

              De mon point de vue, la double authentification est une arme à double tranchant car cela sécurise le site mais c'est également une contrainte qui peut bloquer ou freiner une envie comme l'achat sur un site e-commerce ou un acte bénévole dans un site communautaire. Pour trouver le juste équilibre, certains mémorisent la seconde validation en déposant un cookie dans le navigateur. Ainsi, on n'est pas obligé d'avoir son téléphone à coté de soi pour se connecter depuis un pc/mac reconnu.

              Actuellement, je ne prendrai pas le risque d'imposer cela sans avoir sondé les utilisateurs sur leurs petites habitudes car c'est difficile aujourd'hui d'avoir des personnes qui s'impliquent ou contribuent régulièrement. Si la sécurité est essentielle, cela ne devrait pas être au détriment de l'accessibilité au sens large (on a le même raisonnement avec le captcha visuel).

              Pour info, il y a un plugin libre et gratuit qui est sorti il y a quelques années sans toutefois avoir été mis à jour depuis 2016 mais c'est toujours proposé sur le site extensions : https://extensions.joomla.org/extens...sword-control/ Cette extension permet de forcer le renouvellement de mot de passe selon certaines règles. On peut exclure pour certains groupes d'utilisateurs. Je n'ai pas testé mais pourquoi pas ?


              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

              Commentaire


              • #8
                Merci pour ces précisions.
                Ce qui m'ennuie aussi avec le double accès c'est que des personnes peuvent être réticentes sur le fait de laisser leur numéro de téléphone sur un site, quel qu'il soit. L'autre souci c'est que ça fait rentrer dans le dur des données personnelles. En cas de piratage c'est toujours un problème d'avoir ce type de données sur un site.

                Commentaire


                • #9
                  C'est valable uniquement dans le cas de l'utilisation des sms (méthode qui présente quelques risques comme indiqué par Daneel) si tu utilises l'appli google authentificator (ou une autre du même type comme Aegis ou Andotp, libres toutes les deux) il n'y a pas de tel à communiquer, juste installer l'appli et flasher un code.
                  Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
                  Confucius

                  Commentaire


                  • #10
                    Merci encore à vous deux.
                    Ce forum est formidable car vous faites le maximum pour répondre au mieux.
                    Malheureusement je me heurte à des limitations (techniques et financières) avec joomla et,à mon grand regret, je pense que je vais devoir me tourner vers d'autres solutions.
                    Je suis dégoûté car Joomla est vraiment mon préféré à la base.

                    Commentaire


                    • #11
                      ok, la décision n'appartient qu'à toi et on la respecte quelque soit le motif.

                      On espère que tu auras d'autres projets intéressants pour revenir prochainement sur le forum.



                      N'oublie pas de passer le sujet comme [réglé], merci !
                      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                      Commentaire


                      • #12
                        Je l'espère aussi pour d'autres projets. Je continuerai à suivre l'évolution de Joomla et je mettrais certainement les mains dans le cambouis plus tard quand j'aurais plus de temps.
                        Merci encore à toi.

                        Commentaire

                        Annonce

                        Réduire
                        Aucune annonce pour le moment.

                        Partenaire de l'association

                        Réduire

                        Hébergeur Web PlanetHoster
                        Travaille ...
                        X