Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.3 est sortie le 10 juillet 2018.
La suite de l’article présente les changements majeurs de cette version.
Sécurité
Un faille critique sur l’application a été publiée fin juin, le correctif avait été publié avant diffusion du CVE, mais le passage à la version 1.3 permet désormais de s’assurer que la faille n’est plus exploitable.
Chiffrement des réponses aux questions
Il est désormais possible de chiffrer les réponses aux questions de sécurité dans l’annuaire. Cette option est même activée par défaut dans la version 1.3. Un script permet de chiffrer en masse toutes les réponses déjà stockées dans l’annuaire LDAP afin de pouvoir activer cette fonction sur des installations existantes.
Pwned Passwords API
Le nouveau mot de passe peut être vérifié via l’API Pwned Passwords afin d’empêcher l’utilisateur de choisir un mot de passe qui a déjà été piraté.
Script post‐hook
Un script post‐hook peut être appelé après le changement de mot de passe afin d’exécuter des actions supplémentaires, comme propager le mot de passe sur un autre référentiel. Dans la version 1.3, il est maintenant possible d’afficher à l’utilisateur une erreur si le script retourne un code supérieur à 0.
Divers
Certaines traductions ont été complétées et une nouvelle langue a été ajoutée (estonien), portant à 23 le nombre de langues disponibles.
Aller plus loin
- Documentation du projet (243 clics)
- Page du projet sur GitHub (160 clics)
- Téléchargement (46 clics)
- Précédente dépêche LinuxFr.org (45 clics)
- Version 1.3 sur Github (50 clics)
# Simple, efficace
Posté par labiloute . Évalué à 4.
J'aime beaucoup ce projet que nous utilisons au sein de notre association Artifaille pour permettre à tous nos utilisateurs de changer leur mot de passe, connecté à un OpenLdap. Longue vie !
[^] # Re: Simple, efficace
Posté par Adminrezo (site web personnel) . Évalué à 2.
Tout pareil pour moi.
J'en suis très content.
Je l'utilise depuis un an avec un Samba4/AD.
Dans la même famille, je vous recommande aussi White Pages
[^] # Re: Simple, efficace
Posté par KPTN (site web personnel, Mastodon) . Évalué à 3.
Merci pour ces retours, très content que ça vous plaise !
# Pwned Passwords
Posté par MCMic (site web personnel) . Évalué à 6.
J’avais du mal à voir comment l’appel à une API externe pour cette histoire de mot de passe compromis pouvait ne pas être dangereux, j’ai cherché un peu et l’astuce est assez jolie:
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity
On envoi pas un hash du mot de passe au service mais seulement les 5 premiers caractères, et le service renvoi une liste des hash compromis connus qui commencent par ce préfixe, en moyenne 400. Il suffit ensuite de vérifier en local si notre hash est dans la liste.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.