Мод автосмены пароля каждые 2 месяца (период устанавливается)

[fagediba]

2,3,6

 

Так от брутфорса вроде как защитился, теперь нужно бороться с проблемой если логин уже попал злоумышленнику

 

Не могу понять как работают уже те настройки что есть:

 

Сбрасывать ключ авторизации пользователей при каждом входе?

 

Проверить браузер пользователя при проверке сессии

 

Вот это установил в значение "да". Проверяю: спокойно могу одновременно авторизоваться в 2 разных браузерах - мозилле и ие.

 

Эти настройки вообще работают?

 

 

Также допустим у злоумышленника уже есть пароль. Никакое сбрасывание ключей и сессий тут уже не поможет. Единственный выход - смена пароля пользователю. Есть ли какие-то готовые моды чтобы требовать от пользователей смену пароля каждый определенный период?

Изменено 18 Сентября 2010 пользователем fagediba

[habahaba]

Есть ли какие-то готовые моды чтобы требовать от пользователей смену пароля каждый определенный период?

Готового подобного ничего не видел. Написать в принципе такое не сложно.

[fagediba]

Я так понимаю нужно еще одно значение хранить "дата установки пароля"

 

Каждый раз при загрузке страницы проверяется: если "дата установки пароля" + "период действия пароля" < Текущей даты => перекидывать юзера на страницу смены пароля.

 

При смене пароля устанавливается новое значение "даты установки пароля"

 

Соответственно в админке настройки:

 

Включить/выключить мод

 

Ввести срок действия пароля в днях.

 

При смене пароля спрашивается текущий пароль и 2 раза новый.

 

Происходит проверки

 

               //-----------------------------------------
               // Allow user to choose...
               //-----------------------------------------
               else
               {
                   if ( $_POST['pass1'] == "" )
                   {
                       $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_blank' ) );
                   }

                   if ( $_POST['pass2'] == "" )
                   {
                       $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_blank' ) );
                   }

                   $pass_a = trim($this->ipsclass->input['pass1']);
                   $pass_b = trim($this->ipsclass->input['pass2']);

                   if ( strlen($pass_a) < 3 


/*  v forme vosstanovleniia parolia proverka na parol */
or
strlen($pass_a) < 8 OR 
is_numeric($pass_a) OR 
! preg_match( "/\d/", $pass_a  ) OR 
! ( stripos( $member['name'] , $pass_a  ) === false ) OR  
! ( stripos( $pass_a , $member['name']  ) === false )



)
                   {
                       $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_too_short' ) );
                   }

                   if ( $pass_a != $pass_b

                    )
                   {
                       $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_no_match' ) );
                   }

                   $new_pass = md5($pass_a);

 

Это мои проверки: от 8 символов, логин не содержит пароль, пароль не содержит логин, должен содержать буквы и цифры.

 

 

Сколько за такой модуль?

[fagediba]

habahaba изготовил мне модуль автосмены. Отредактировал его как мне нужно и запустил только что, надеюсь все пройдет удачно