Por exemplo, uma senha é composta por letras, números e símbolos.
Não tenho a certeza se entendo a premissa da pergunta? Para fortalecer uma senha, você realmente incluiria uma mistura de letras em diferentes maiúsculas, números e símbolos. Preferencialmente aleatórios e únicos para cada site/login.
Um gerenciador de senhas também é uma ferramenta útil.
No entanto, este é um conselho geral sobre senhas e não específico para o Discourse.
1 curtida
Talvez você tenha me entendido mal. O que quero dizer é que criei um fórum de discussão. Quando novos usuários se registram, preciso restringir suas senhas a três tipos
Só consigo ajustar o comprimento da senha nas Configurações do sistema
Eu acho que entendi. Você quer forçar os usuários a terem senhas que incluam uma mistura de letras, números e símbolos.
Receio não saber de uma maneira de fazer isso atualmente.
1 curtida
Bem, obrigado mesmo assim
Alguém pode resolver este problema?
Eu acho que estas são as únicas configurações:
Na minha opinião, esta é uma solicitação de #recurso razoável?
A desvantagem de tornar as senhas mais difíceis de serem aceitáveis é que você pode exasperar os usuários durante o cadastro e realmente impedi-los de concluí-lo? A prioridade disso certamente variará por comunidade?
@1378434153 outra maneira de resolver isso pode ser impedir o login local e forçar um login social/de autenticação que tenha um regime mais forte.
Outra coisa a considerar é forçar a 2FA em todas as contas.
1 curtida
Obrigado. Mas não preciso de autenticação de dois fatores.
Mas talvez seus usuários precisem, ou queiram? Essa deve ser a primeira prioridade, não a sua necessidade.
1 curtida
Não é um problema. Ter regras arbitrárias sobre quais tipos de caracteres existem não ajuda e apenas irrita os usuários. As senhas também são verificadas em um banco de dados de senhas conhecidas (ou pelo menos é o que me lembro).
É uma boa aposta que as pessoas que criaram as regras sobre senhas gastaram mais tempo e energia pesquisando as melhores práticas do que a maioria das pessoas. Sugiro que você encontre outra coisa com que se preocupar.
Se quiser, por US$ 250 a US$ 1000, você pode postar em Marketplace e impor as regras que quiser aos seus usuários.
1 curtida
Práticas recomendadas/melhores práticas do setor (como as defendidas pelo NIST) não recomendam mais a exigência de “LUDS” (Letra minúscula + Letra maiúscula + Dígito + Símbolo) ou quaisquer outros requisitos de classe de caracteres. Elas mudaram estritamente para restrições de comprimento mínimo como uma prática recomendada. Veja, por exemplo, esta postagem de blog do NIST de cinco anos atrás:
Ela resume as mudanças nas orientações e, até onde sei, o Discourse implementou as práticas recomendadas.
6 curtidas
E há outro ponto que muitas vezes passa despercebido — todas essas coisas são muito anglocêntricas. O que você acha… se e quando eu usar uma senha curta e bastante fácil em finlandês, em sueco, em alemão ou em qualquer outro idioma que não seja inglês, quão rápido um script/bot pode quebrá-la?
Claro, isso não ajuda nos Estados Unidos, Canadá, Reino Unido, etc., mas o mundo é muito mais amplo 
Isso significa uma coisa: tudo é feito porque usuários que falam inglês usam senhas como “password” ou “qwerty” 
Mas sim, estou um pouco cansado quando um administrador diz que não posso usar uma senha como ÄitiniMun porque não há vários números ou algo assim.
Senhas muito simples não são o problema. Usar a mesma combinação de e-mail/senha em vários serviços é.
1 curtida
O NIST está definitivamente à frente na questão. O PCI-DSS, por exemplo, acabou de passar de 8 para 12 caracteres e ainda exige senhas alfanuméricas. 
2 curtidas
Como dito acima por @Stephen e @mcdanlj, impor isso não é mais a prática de segurança mais avançada, então não exigimos isso.
No entanto, se você quiser controle total sobre o processo de login do Discourse, você pode delegar a autenticação a um serviço web sob seu controle utilizando o DiscourseConnect.
4 curtidas
Ok, entendi. Talvez não seja um pedido razoável, afinal
1 curtida
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.