| From: | Maxime DERCHE <md(at)mdisc(dot)fr> |
|---|---|
| To: | pgsql-fr-generale(at)lists(dot)postgresql(dot)org |
| Subject: | Re: Stratégie de mot de passe des roles postgresql |
| Date: | 2023-11-03 13:19:51 |
| Message-ID: | c8208d82-1f64-83ce-0bc6-aaac4510df65@mdisc.fr |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-fr-generale |
Bonjour,
Le 02/11/2023 à 17:52, Alain Benard a écrit :
> Bonjour,
>
> Je cherche à imposer certaines règles pour les mots de passe des rôles postgresql et
> les contacts et recherches effectuées jusqu’ici ne semble orienter que vers le module
> passwordcheck, capable seulement de checker des mots de passe en clair (donc TLS
> obligatoire) selon un algo qui semble figé dans le code.
>
> 1.Y-a-t-il d’autres alternatives que ce module (en dehors d’utiliser d’autres
> systèmes d’authentification que postgres comme ldap …)
>
> 2.Existe-t-il un fichier de configuration ou une localisation quelconque (paramètre
> postgres …) de cette extension paswordcheck où l’on puisse facilement modifier par
> exemple la longueur minimale des mots de passe accepté (en dehors des sources du
> projet bien sûr). Dans ce cas nom /localisation + syntaxe ou exemple serait
> bienvenus. J’imaginais pouvoir définir facilement (sans recompilation …) :
>
> a.La longueur minimale
>
> b.Le nombre de majuscules minimal
>
> c.Le nombre de minuscules minimal
>
> d.Le nombre de caractères spéciaux minimal
>
> e.Le nombre de chiffres minimal
En fait de nos jours le paradigme n'est plus de forcer la diversité des jeux de
caractères mais plutôt :
* augmenter drastiquement la longueur ;
* générer automatiquement à la volée ;
* stocker dans un gestionnaire de secrets.
=> Donc le paradigme s'énonce simplement : utiliser un gestionnaire de secret.
Cela vient du fait que forcer la diversité a un effet pervers important sur les mots
de passe "courts" : cela réduit l'entropie et donc l'espace des mots de passe
possibles pour une longueur donnée.
Un gestionnaire de secret permet de générer des mots de passe de par exemple 128
caractères (ou plus) et il s'en souvient à la place de l'humain, donc le débat sur le
nombre de majuscules devient un débat obsolète (avec ce type de longueur on écrase le
sujet).
Pas testé et je n'ai pas d'action chez Hashicorp mais un collègue m'a tout récemment
parlé d'une fonction de Vault permettant de mettre à jour automatiquement des mots de
passe de base de données, et notre bien-aimé PostgreSQL ferait partie des systèmes
supportés :
<https://developer.hashicorp.com/vault/docs/secrets/databases/postgresql>.
Bien cordialement,
--
Maxime DERCHE
Maxime DERCHE Information System Consulting France | NVMQVAM SOLVS
Mobile Telephone: +33 6 74 90 88 84
Web Site : https://www.mdisc.fr/
OpenPGP Key ID: 0x814E02A25697FD13
OpenPGP Key Fingerprint: 8B7B 60C9 1095 A198 C883 5205 814E 02A2 5697 FD13
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Alain Benard | 2023-11-03 13:51:58 | RE: Stratégie de mot de passe des roles postgresql |
| Previous Message | Cédric Villemain | 2023-11-03 10:08:52 | Re: Stratégie de mot de passe des roles postgresql |