Por ejemplo, una contraseña consta de letras, números y símbolos.
No estoy seguro de entender la premisa de la pregunta. Para fortalecer una contraseña, de hecho, deberías incluir una mezcla de letras en diferentes casos, números y símbolos. Preferiblemente aleatorios y únicos para cada sitio/inicio de sesión.
Un gestor de contraseñas también es una herramienta útil.
Sin embargo, este es un consejo general sobre contraseñas y no específico para Discourse.
1 me gusta
Quizás me ha entendido mal. Lo que quiero decir es que he creado un foro de Discourse. Cuando los nuevos usuarios se registran, necesito restringir sus contraseñas a tres tipos.
Solo puedo ajustar la longitud de la contraseña desde la configuración del sistema.
Creo que entiendo. Quieres obligar a los usuarios a tener contraseñas que incluyan una combinación de letras, números y símbolos.
Me temo que no conozco una forma de hacerlo actualmente.
1 me gusta
Bueno, gracias de todos modos
¿Hay alguien que pueda resolver este problema?
Creo que estas son las únicas configuraciones:
En mi opinión, ¿es esta una solicitud de #característica razonable?
La desventaja de hacer que las contraseñas sean más difíciles de aceptar es que podrías exasperar a los usuarios durante el registro y, de hecho, impedirles completarlo. ¿La prioridad de esto seguramente variará según la comunidad?
@1378434153 otra forma de resolver esto podría ser evitar el inicio de sesión local y forzar un inicio de sesión social/de autenticación que tenga un régimen más estricto.
Otra cosa a considerar es forzar la autenticación de dos factores (2FA) en todas las cuentas.
1 me gusta
Gracias. Pero no necesito la autenticación de dos factores.
Pero quizás tus usuarios lo necesiten, o lo quieran? Esa debería ser la primera prioridad, no tu necesidad.
1 me gusta
No es un problema. Tener reglas arbitrarias sobre qué tipos de caracteres existen no ayuda y solo molesta a los usuarios. Las contraseñas también se verifican contra una base de datos de contraseñas conocidas (o eso creo recordar).
Es una buena apuesta que las personas que crearon las reglas sobre contraseñas han dedicado más tiempo y energía a investigar las mejores prácticas que la mayoría de la gente. Sugiero que encuentres algo más de qué preocuparte.
Si quieres, por $250 a $1000 puedes publicar en Marketplace e imponer las reglas que quieras a tus usuarios.
1 me gusta
Las mejores/recomendadas prácticas de la industria (como las defendidas por NIST) ya no recomiendan exigir “LUDS” (minúsculas + mayúsculas + dígito + símbolo) ni ningún otro requisito de clase de caracteres. Han pasado estrictamente a restricciones de longitud mínima como mejor práctica. Vea, por ejemplo, esta entrada de blog de NIST de hace cinco años:
Resume los cambios en la guía y, hasta donde yo sé, Discourse ha implementado las prácticas recomendadas.
6 Me gusta
Y hay otro punto que a menudo pasa desapercibido: todas estas son cosas muy anglocéntricas. ¿Qué opinas… si y cuando uso una contraseña corta y bastante fácil en finés, en sueco, en alemán o en cualquier otro idioma que no sea inglés, qué tan rápido puede romperla un script/bot?
Claro, eso no ayuda en los Estados Unidos, Canadá, Reino Unido, etc., pero el mundo es mucho más amplio 
Eso significa una cosa: todo se hace porque los usuarios de habla inglesa usan contraseñas como “password” o “qwerty” 
Pero sí, estoy un poco cansado cuando un administrador dice que no puedo usar una contraseña como ÄitiniMun porque no tiene varios números o algo más.
Las contraseñas demasiado simples no son un problema. Usar la misma combinación de correo electrónico/contraseña en varios servicios sí lo es.
1 me gusta
NIST está definitivamente por delante de la curva en eso. El PCI-DSS, por ejemplo, acaba de pasar de 8 a 12 caracteres, y todavía exigen contraseñas alfanuméricas. 
2 Me gusta
Como dijeron anteriormente @Stephen y @mcdanlj, imponer eso ya no es la práctica de seguridad más avanzada, por lo que no lo requerimos.
Sin embargo, si desea un control completo sobre el proceso de inicio de sesión de Discourse, puede delegar la autenticación a un servicio web bajo su control utilizando DiscourseConnect.
4 Me gusta
Entendido. Quizás no sea una petición razonable después de todo.
1 me gusta
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.