[gepi-users] Re: --- IMPORTANT : Sécurité Gepi --- Nouvelle version 1.4.1, ---

[Thomas BELLIARD]

Quoting Valéry BRIAUD <BRIAUDVa at cc-parthenay.fr>:

> Heu, pas cool l'obligation de changer son mot de passe. Chez nous,
> beaucoup de collègues avaient déjà changé le leur et prenaient le même
> que celui utilisé avec Lcs et Grr par exemple. Maintenant ils sont
> obligés de changer et en plus ne peuvent utiliser l'ancien :-(
> Je vais me faire gronder ...
> Cette obligation est-elle nécessaire ? Pourquoi ?

Peut-être s'agit-il d'un excès de précaution, mais qui à mon avis se justifie :
une des failles de sécurité (certes pas des plus évidentes, mais un pirate un
peu au courant) permet de récupérer la liste des mots de passes présents dans
la base de données (je ne détaille pas comment). Ces mots de passe sont cryptés
en MD5 dans la base, mais connaissant les habitudes des professeurs en terme de
définition des mots de passe, des outils de crackages peuvent permettre de
retrouver le mot de passe sans trop d'efforts.

Donc oui je pense que c'est nécessaire, même si j'espère que pour tous les Gepi
installés et utilisés ça n'est qu'une précaution inutile...

Désolé pour le dérangement que ça va générer :-/

Pour terminer sur une note positive et répondre plus spécifiquement à ta
situation, Valéry : Gepi peut utiliser CAS pour l'authentification, comme Grr
(et LCS aussi ?). Donc cette question de mots de passe multiples serait réglée
;)

Thomas