Par exemple, un mot de passe se compose de lettres, de chiffres et de symboles.
Je ne suis pas sûr de comprendre la prémisse de la question ? Pour renforcer un mot de passe, il faut en effet inclure un mélange de lettres de différentes casse, de chiffres et de symboles. De préférence aléatoires et uniques pour chaque site/connexion.
Un gestionnaire de mots de passe est également un outil utile.
Ceci est un conseil général sur les mots de passe, et non spécifique à Discourse.
1 « J'aime »
Peut-être m’avez-vous mal compris. Ce que je veux dire, c’est que j’ai créé un forum de discussion. Lorsque de nouveaux utilisateurs s’inscrivent, je dois restreindre leurs mots de passe à trois types.
Je ne peux ajuster la longueur du mot de passe qu’à partir des paramètres du système.
Je vois. Vous voulez obliger les utilisateurs à avoir des mots de passe qui incluent un mélange de lettres, de chiffres et de symboles.
Je crains de ne pas connaître de moyen de faire cela actuellement.
1 « J'aime »
Eh bien, merci quand même
Quelqu’un peut-il résoudre ce problème ?
Je pense que ce sont les seules options :
À mon avis, c’est une #demande de fonctionnalité raisonnable ?
Le revers de la médaille d’une politique de mots de passe plus stricts est que vous pourriez exaspérer les utilisateurs lors de l’inscription et les empêcher de la terminer ? La priorité de ceci variera sûrement selon la communauté ?
@1378434153 une autre façon de résoudre ceci pourrait être d’empêcher la connexion locale et de forcer une connexion sociale/d’authentification qui a un régime plus strict.
Une autre chose à considérer est de forcer la 2FA sur tous les comptes.
1 « J'aime »
Merci. Mais je n’ai pas besoin d’authentification à deux facteurs.
Mais peut-être que vos utilisateurs en ont besoin, ou le veulent ? Ce devrait être la priorité, pas votre besoin.
1 « J'aime »
8 « J'aime »
Ce n’est pas un problème. Avoir des règles arbitraires sur les types de caractères n’aide pas et agace simplement les utilisateurs. Les mots de passe sont également vérifiés par rapport à une base de données de mots de passe connus (du moins, il me semble).
Il est fort probable que les personnes qui ont établi les règles concernant les mots de passe aient consacré plus de temps et d’efforts à rechercher les meilleures pratiques que la plupart des gens. Je vous suggère de trouver autre chose à vous soucier.
Si vous le souhaitez, pour 250 à 1000 , vous pouvez publier dans Marketplace et imposer les règles que vous souhaitez à vos utilisateurs.
1 « J'aime »
Les meilleures pratiques industrielles/recommandées (telles que celles promues par le NIST) ne recommandent plus d’exiger les « LUDS » (lettre minuscule + lettre majuscule + chiffre + symbole) ou toute autre exigence de classe de caractères. Elles se sont orientées strictement vers des restrictions de longueur minimale comme meilleure pratique. Voir par exemple cet article de blog du NIST datant d’il y a cinq ans :
Il résume les changements dans les directives, et à ma connaissance, Discourse a mis en œuvre les pratiques recommandées.
6 « J'aime »
Et il y a un autre point qui reste souvent sous le radar — toutes ces choses sont très centrées sur l’anglais. Qu’en pensez-vous… si et quand j’utilise un mot de passe court et assez facile en finnois, en suédois, en allemand ou en fait dans n’importe quelle langue autre que l’anglais, à quelle vitesse un script/bot peut-il le casser ?
Bien sûr, cela n’aide pas aux États-Unis, au Canada, au Royaume-Uni, etc., mais le monde est beaucoup plus vaste 
Cela signifie une chose : tout est fait parce que les utilisateurs anglophones utilisent des mots de passe comme « password » ou « qwerty » 
Mais oui, je suis un peu fatigué quand un administrateur dit que je ne peux pas utiliser un mot de passe comme ÄitiniMun parce qu’il n’y a pas plusieurs chiffres ou autre chose.
Les mots de passe trop simples ne sont pas le problème. Utiliser la même combinaison email/mot de passe dans plusieurs services l’est.
1 « J'aime »
Le NIST a définitivement une longueur d’avance sur ce point. Le PCI-DSS, par exemple, vient de passer de 8 à 12 caractères, et exige toujours des mots de passe alphanumériques. 
2 « J'aime »
Comme l’ont dit ci-dessus @Stephen et @mcdanlj, l’imposer n’est plus la pratique de sécurité de pointe, nous ne l’exigeons donc pas.
Cependant, si vous souhaitez un contrôle total sur le processus de connexion de Discourse, vous pouvez déléguer l’authentification à un service Web sous votre contrôle en utilisant DiscourseConnect.
4 « J'aime »
D’accord, je comprends. Ce n’est peut-être pas une demande raisonnable après tout.
1 « J'aime »
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.