Sortie de LDAP Tool Box Self Service Password 1.3

Posté par (page perso) . Édité par Davy Defaud et Trollnad Dump. Modéré par ZeroHeure. Licence CC by-sa.
22
12
juil.
2018
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.3 est sortie le 10 juillet 2018.

La suite de l’article présente les changements majeurs de cette version.

Sécurité

Un faille critique sur l’application a été publiée fin juin, le correctif avait été publié avant diffusion du CVE, mais le passage à la version 1.3 permet désormais de s’assurer que la faille n’est plus exploitable.

Chiffrement des réponses aux questions

Il est désormais possible de chiffrer les réponses aux questions de sécurité dans l’annuaire. Cette option est même activée par défaut dans la version 1.3. Un script permet de chiffrer en masse toutes les réponses déjà stockées dans l’annuaire LDAP afin de pouvoir activer cette fonction sur des installations existantes.

Pwned Passwords API

Le nouveau mot de passe peut être vérifié via l’API Pwned Passwords afin d’empêcher l’utilisateur de choisir un mot de passe qui a déjà été piraté.

Script post‐hook

Un script post‐hook peut être appelé après le changement de mot de passe afin d’exécuter des actions supplémentaires, comme propager le mot de passe sur un autre référentiel. Dans la version 1.3, il est maintenant possible d’afficher à l’utilisateur une erreur si le script retourne un code supérieur à 0.

Divers

Certaines traductions ont été complétées et une nouvelle langue a été ajoutée (estonien), portant à 23 le nombre de langues disponibles.

Aller plus loin

  • # Simple, efficace

    Posté par . Évalué à 4.

    J'aime beaucoup ce projet que nous utilisons au sein de notre association Artifaille pour permettre à tous nos utilisateurs de changer leur mot de passe, connecté à un OpenLdap. Longue vie !

  • # Pwned Passwords

    Posté par (page perso) . Évalué à 6.

    J’avais du mal à voir comment l’appel à une API externe pour cette histoire de mot de passe compromis pouvait ne pas être dangereux, j’ai cherché un peu et l’astuce est assez jolie:
    https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity

    On envoi pas un hash du mot de passe au service mais seulement les 5 premiers caractères, et le service renvoi une liste des hash compromis connus qui commencent par ce préfixe, en moyenne 400. Il suffit ensuite de vérifier en local si notre hash est dans la liste.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.