search

puzzle / decidim-zuerich

Mitwirkungsportal für die Stadt Zürich, basierend auf Decidim
https://mitwirken.stadt-zuerich.ch
GNU Affero General Public License v3.0
8 stars 2 forks source link

Max Password-Length auf 8 Zeichen heruntersetzen. #387

Closed larsUE closed 1 year ago

carlobeltrame commented 1 year ago

Ich hoffe schwer du meinst die Mindestlänge, nicht die Maximallänge.

carlobeltrame commented 1 year ago

Ausserdem: Darf ich fragen warum diese Änderung gewünscht ist? Fachstellen für Web Application Security wie die OWASP und NIST empfehlen bei Applikationen mit sensitiven Daten (z.B. die History und Interessen von politischen Partizipator*innen) Passwortlänge 8 nur in Kombination mit 2-Faktor-Authentifizierung (wobei SMS nicht die einzige 2FA-Möglichkeit sein darf). Die von Decidim vorgeschriebene Passwortlänge 10 ist nicht so viel höher, hat aber bereits grosse Auswirkungen auf die Knackbarkeit: image

Aus Security-Sicht von Puzzle kann ich diese Änderung so alleinstehend daher nicht empfehlen.

larsUE commented 1 year ago

Diese Liste ist sehr hilfreich, danke! Es geht hier nur um die in Version 0.27 eingeführte Strong Password Policy for Admins: https://github.com/decidim/decidim/pull/9347. Die minimale Länge kann per ENV Var gesetzt werden.

Ich bespreche es jedoch nochmals mit der Stadt und verschiebe das Ticket in den Backlog.

larsUE commented 1 year ago

In Rücksprache mit Stadt geclosed

larsUE commented 1 year ago

FYI: @innosmith @nadjavonballmoss