Смена пароля Grails: разрешить только «новые» пароли

Question

Мне нужно улучшить безопасность на сайте, построенном на Grails.

Требование заключается в том, что когда пользователь меняет свой пароль, он не может выбирать ни один из предыдущих паролей N.

Кто-нибудь знает модуль для этого? Должен ли я бросить свой собственный?

Любые мысли / советы будут оценены.

Заранее спасибо

Answer 1

Требование заключается в том, что когда пользователь меняет свой пароль, он не должен иметь возможности выбирать ни один из предыдущих паролей N.

Пожалуйста, отодвиньте это требование. Это бессмысленно и не улучшает безопасность немного. Каждый раз, когда вы заставляете пользователей менять пароли, вы увеличиваете вероятность того, что они просто запишут его и прикрепят к своему монитору. Запрет на повторное использование старых паролей делает их еще хуже.

Это «лучшая практика» безопасности, такая как кровотечение и выщелачивание, которые раньше были лучшей медицинской практикой; все делали это по незнанию.

Answer 2

Нетрудно катиться самостоятельно.

Используйте событие GORM beforeSave, проверьте сравнение пароля и либо отмените, либо продолжайте с тем же, учитывая результат сравнения.

Answer 3

Это зависит от ваших требований. Доступно несколько подключаемых модулей безопасности, список которых см. В разделе «Обеспечение безопасности входа в систему и на уровне страницы» по адресу http://www.grails.org/Security. Если вы хотите создать свою собственную роль, просто создайте класс домена, который содержит старые пароли, свяжите его с определенным пользователем, и если новый пароль находится в списке старых паролей, хранящихся в вашем домене, не позволяйте пользователю предъявлять иск.