[Authentification] Permettre de donner des critères pour les mots de passes GeoNature

[christophe-ramet]

Afin d’augmenter la sécurité des comptes utilisateurs, nous avons besoin de mettre en place des règles lors de la création des mots de passe. L’objectif initial est de pouvoir respecter la recommandation R21 de l'ANSSI sur la longueur des mots de passes - https://cyber.gouv.fr/sites/default/files/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf

L’idée est de rendre paramétrable dans GeoNature :

• Nombre de caractères minimum
• Présence de majuscules et minuscules obligatoire
• Présence de chiffre obligatoire
• Présence de caractères spéciaux obligatoire

Les tâches à réaliser seraient :

• Ajout de 4 paramètres de configuration (Nombre de caractères, Enforce Maj/min, Enforce chiffre, Enforce caractères spéciaux)
• Ajout d’une vérification frontend - avec messages d’erreurs associé - dans les 3 pages :
  • Changement de mot de passe
  • Création de compte
  • Récupération de mot de passe
• Vérification dans le backend

À priori certaines de ces tâches sont à faire dans UsersHub ou dans UsersHub-authentification-module

[gildeluermoz]

Je plussois. Plusieurs organismes ont une politique de sécurité qui exige ce niveau de sécurité des mots de passe. Pour s'en assuré, actuellement, il faut déactiver l'administration des comptes par les utilisateurs et confier la gestion des mots de passe uniquement à l'administrateur GeoNature qui doit ensuite transmettre ceux-ci aux utilisateurs. Ce qui n'est pas terrible non plus.

[DonovanMaillard]

Bonjour,

Ca peut être une bonne chose dans l'idée, en revanche je me demande s'il est nécessaire de configurer critère par critère ce qu'on attend.

Un paramètre "hard_password" ou "anssi_password" par exemple, qui active ou désactive l'ensemble des critères avec une longueur minimale fixée pour tout le monde, ne serait-elle pas suffisante ? Ca permettrait avec un seul paramètre soit de conserver le fonctionnement actuel pour ceux qui n'ont pas une politique de sécurité particulière de ne pas "embêter" leurs utilisateurs, et pour tous les autres d'exiger un mot de passe "fort" sans pouvoir personnaliser à quel point on veut le rendre fort ?

[camillemonchicourt]

En effet ça se discute de faire un paramètre global ou alors de détailler chaque critère.

J'aime bien l'idée de pouvoir détailler chaque critère, car faire un paramètre ANSII n'a pas vraiment de signification je trouve.
Et ça permet d'affiner ou d'ajuster comme on veut.

Et on pourra pousser pour que les nouvelles installations soient avec des paramètres forts par défaut, mais pouvoir ne pas les appliquer, et ne pas bloquer les mots de passe existants.

Mais ouais il faut bien réfléchir à comment gérer ce dernier aspect de mots de passe existants....

[christophe-ramet]

Pour les mots de passe existants, on ne peut pas savoir s'ils respectent les critères ou non donc ils ne seront pas touchés. Une instance qui veut que tous ses mots de passes respectent les règles se verrait donc dans l'obligation d'invalider tous les mots de passes déjà existants.

Pour ce qui est des critères ANSII, en fait, c'est assez libre d'interprétation, car l'ANSSI recommande une entropie (grossièrement longueur + nombre de caractères disponibles) en fonction du niveau de sensibilité de l'application. Donc un gestionnaire de GeoNature pourrait estimer qu'une longueur de 9 est suffisante et un autre en attendre une de 15. Donc, je pense qu'il faut à minima garder un paramétrage pour la longueur et au moins un autre pour obliger ou non de renseigner caractère spécial/chiffre/majuscule.

Pour ce qui est de la valeur par défaut des paramètres, il faut en effet voir si on met quelque chose de sécurisé par défaut ou si on laisse sans vérification comme actuellement. À priori, je dirais que la première option est meilleure, mais ça se discute.

[camillemonchicourt]

Oui et au final c'est bien de pouvoir augmenter la solidité des nouveaux de passe d'une instance sans bloquer tous les existants.
On pourra voir dans un second temps pour un mécanisme qui permet de forcer la réinitialisation de tous les MDP.

Je pense aussi que par défaut, autant activer un niveau de sécurité un peu plus solide, intermédiaire, et bien documenter comment les retirer ou les renforcer.

[gildeluermoz]

Je partage le souci de bien gérer et de ne pas bloquer les instances avec bcp d'utilisateurs et sans politique de mots de passe.
Il faut que la transition vers des mots de passe sécurisés puisse se faire sans blocage et sans trop de travail pour les administrateurs.
Peut-être qu'il faut envisager une durée de validité des mots de passe existants (au moins dans le cadre de la transition). De cette manière, il est possible de programmer une transition sur la durée qui convient à chacun.
De mémoire, on ne peut pas savoir, parmi les mdp existants, lesquels sont déjà conformes et ceux qui ne le seraient pas. Donc tous les utilisateurs devront soit confirmer soit changer leur mdp.