Comment définir une politique de mots de passe dans Odoo ?
Contexte
Le 27 janvier 2017, Odoo a envoyé un courriel à ces clients et à la communauté indiquant que l'exploitation d'un défaut de sécurisation avait été découverte dans Odoo. Vous pouvez lire le bulletin de sécurité ODOO-SA-2017-01-27-1 ici.
Le défaut de sécurisation d'une instance peut permettre à un attaquant d'avoir accès à la machine Odoo pour y lancer des commandes en installant un module Odoo à distance. Vous êtes concernés si vous avez des instances Odoo avec le couple utilisateur/mot de passe par défaut.
Dans la liste de discussion d'OCA, Nhomar Hernandez (de Vauxoo.com) nous a indiqué qu'un module communautaire appelé 'password_security' pouvait être utilisé pour avoir une meilleure sécurité et pour améliorer la gestion des mots de passe.
Description du module 'password_security'
Le module peut être téléchargé sur le GitHub de OCA : https://github.com/OCA/server-tools
Il est disponible pour les versions 6.1 à 10.0 de Odoo.
Ce module permet de définir plus précisement une politique de mots de passe pour vos utilisateurs de Odoo. Vous pouvez définir une politique de mots de passe basée sur : L'âge du mot de passe, La longueur minimale, L'impossibilité d'utiliser un mot de passe déjà utilisé antérieurement, Au moins une lettre minuscule, Au moins une lettre majuscule, Au moins un chiffre, Au moins un caractère spécial, Temps minimum entre deux demandes de réinitialisation du mot de passe.
Comment utiliser le module 'password_security' ?
Pour définir une politique de mots de passe, vous devez télécharger et installer le module 'password_security'.
Après cette première étape, vous pouvez définir une politique de mots de passe différent pour chaque société de votre bases de données.
Pour configurer la politique de mots de passe sur votre société, vous devez suivre ces étapes :
- Cliquez sur Configuration dans le menu principal,
- Ensuite, cliquez sur Sociétés dans le menu de gauche et ouvrez la société que vous souhaitez configurer,
- Dans le formulaire de la société, ouvrez l'onglet Politique des mots de passe,
- Dans le groupe Durées, vous pouvez définir la durée de validité d'un mot de passe (champ Jours==) et le nombre minimum d'heures entre deux demandes de réinitialisation (champ Heures minimum**),
- Dans le groupe Options supplémentaires, vous pouvez définir la longueur minimale d'un mot de passe (champ Longueur minimal) et le nombre d'anciens mots de passe que l'utilisateur ne peut pas réutiliser (champ Anciens mots de passe) - Si vous indiquez un nombre négatif, aucun anciens mots de passe ne pourra être utilisé, si vous indiquez 0, cette fonctionnalité sera désactivée,
- Dans le groupe Doit contenir, vous pouvez définir si le mot de passe doit contenir au moins l'un de ces caractères.