Je dois améliorer la sécurité dans un site Web construit sur des grails.Changement de mot de passe Grails: Autoriser seulement les "nouveaux" mots de passe
L'exigence est que lorsqu'un utilisateur change son mot de passe, il ne doit pas pouvoir choisir parmi les N mots de passe précédents.
Est-ce que quelqu'un connaît un module pour cela? Dois-je rouler le mien?
Des idées/conseils seront appréciés.
Merci d'avance
Il n'est pas difficile de rouler les vôtres. Faire usage de l'événement GORM beforeSave, vérifier comparer le mot de passe et d'annuler ou de procéder avec le même donné le résultat de la comparaison
Cela dépend de vos besoins. Plusieurs plugins de sécurité sont disponibles. Pour obtenir une liste, consultez l'en-tête «Fourniture de sécurité de connexion et de page» à http://www.grails.org/Security . Si vous voulez créer votre propre classe de domaine contenant des anciens mots de passe, associez-la à un utilisateur spécifique. le nouveau mot de passe est dans la liste des anciens mots de passe stockés dans votre domaine ne permet pas à l'utilisateur de le poursuivre.
L'exigence est que lorsqu'un utilisateur change son mot de passe, il ne doit pas pouvoir choisir parmi les N mots de passe précédents.
Veuillez repousser cette exigence. C'est inepte et n'améliore pas un peu la sécurité. Chaque fois que vous faites changer les mots de passe par les utilisateurs, vous augmentez les chances qu'ils les écrivent simplement et les collent à leur moniteur. Les empêcher de réutiliser les anciens mots de passe le rend encore pire.
Il s'agit d'une «meilleure pratique» en matière de sécurité, comme les saignements et les lixiviats utilisés comme meilleures pratiques médicales; tout le monde le faisait par ignorance.