Lösenordssäkerhet¶
Hur Weblate lagrar lösenord¶
Weblate använder en Django-implementering för att lagra hashade lösenord; se How Django stores passwords.
Den rekommenderade Weblate-konfigurationen använder Argon2 med time_cost = 2, memory_cost = 102400 och parallelism = 8.
Råd
Lösenordshashningen kan anpassas med hjälp av PASSWORD_HASHERS.
Lösenordsvalidering¶
När en användare konfigurerar ett lösenord valideras det för att minska risken för att svaga lösenord används.
Den rekommenderade Weblate-konfigurationen verifierar:
Lösenordet måste vara minst 10 tecken långt och högst 72 tecken långt.
Lösenord som liknar användarnamn och andra attribut avvisas.
Ett vanligt eller alltför enkelt lösenord avvisas.
Alla lösenord som använts nyligen avvisas.
Lösenordets styrka kontrolleras valfritt med hjälp av zxcvbn-algoritmen.
Råd
Lösenordsvalideringen kan anpassas med hjälp av AUTH_PASSWORD_VALIDATORS.
Social eller tredjepartsautentisering¶
Weblate lagrar inga lösenord och tillämpar inga lösenordspolicyer när social eller tredjepartsautentisering är konfigurerad. Lösenorden hanteras i sådana fall helt externt.
Se även
Autentisering