Sécurité
Politiques de mots de passe
Règles de sécurité des mots de passe appliquées par Trousseau pour tous les utilisateurs.
Vue d'ensemble
Trousseau applique des politiques de mots de passe strictes pour tous les utilisateurs de l'écosystème. Ces politiques s'appliquent lors :
- De la première connexion (création du mot de passe)
- De la récupération du mot de passe (réinitialisation)
- Du changement de mot de passe (depuis les paramètres du compte)
Votre application n'a pas besoin d'implémenter de validation de mot de passe: Trousseau s'en charge entièrement.
Règles
| Règle | Exigence | Détails |
|---|---|---|
| Longueur minimale | 10 caractères | Appliqué à la saisie |
| Majuscule | Au moins 1 lettre majuscule | A-Z |
| Minuscule | Au moins 1 lettre minuscule | a-z |
| Chiffres | Au moins 1 chiffre | 0-9 |
| Symboles | Au moins 1 caractère spécial | ``!@#$%^&*()_+-=[] |
| Vérification de robustesse | Score zxcvbn 3+ | Rejette les motifs courants, les suites de clavier, les caractères répétés |
| Vérification des fuites | Absent des fuites connues | Contrôle via Have I Been Pwned par API k-anonymity |
Protection contre le brute-force
| Mécanisme | Détail |
|---|---|
| Scoring de réputation | L'adresse IP et le nom d'utilisateur sont scorés. Les échecs répétés réduisent le score. |
| Seuil | Score inférieur à -5 → l'authentification est bloquée |
| Expiration | Les entrées de réputation expirent après 24 heures |
| Annulation du flux | Après 5 tentatives consécutives échouées, le flux d'authentification est annulé. L'utilisateur doit recommencer. |
Ce que cela signifie pour les partenaires
- Vous ne validez pas les mots de passe: Trousseau gère toutes les politiques de mots de passe côté serveur
- Les utilisateurs choisissent des mots de passe robustes: La vérification zxcvbn empêche les mots de passe faibles même s'ils répondent aux exigences de caractères
- Les mots de passe compromis sont rejetés: Les utilisateurs ne peuvent pas réutiliser des mots de passe apparus dans des fuites de données connues
- Le brute-force est atténué: Les échecs de connexion répétés sont automatiquement limités
Limitations connues
| Limitation | Détail |
|---|---|
| Pas de prévention de réutilisation des mots de passe | Authentik Open Source ne prend pas en charge l'historique des mots de passe (fonctionnalité Enterprise) |
| Pas d'indicateur de robustesse côté client | La vérification de robustesse s'exécute côté serveur ; les erreurs s'affichent après soumission du formulaire |
| Pas de verrouillage strict du compte | Uniquement annulation du flux et scoring de réputation ; l'utilisateur peut réessayer après expiration de la réputation |
Ces limitations sont inhérentes à l'édition Open Source d'Authentik et pourront être traitées dans de futures versions.