Gestion des mots de passe

[David Dubois]

Bonjour,

Nouveau bénévole dans une petite bibliothèque, je reprends Waterbear après le départ de l'administrateur précédent.

Tout d'abord, bravo pour ce logiciel à la fois simple de prise en main, complet et libre !
Mon interrogation se porte sur les mots de passe des utilisateurs du logiciel. Existe-il un moyen pour ne pas les avoir en clair dans le registre ?

Ou sinon, comment faites-vous pour gérer les différents comptes dans vos bibliothèque ?

Le fait que l'administrateur ayant accès au registre ait accès aux mots de passe ne vous pose pas de problème ?

Merci de votre retour d'expérience,

David

[Pascal CHARNOLE]

Bonjour,

lorsque l'on a décidé d'informatiser début 2024 la bibliothèque on s'est posé la question des mots de passe. Soit l'administrateur (moi), mettait un mot de passe individuel à chaque bénévole (une quinzaine), soit on mettait login et un mot de passe unique. C'est cette seconde version qui a été retenue. Ce n'est peut-être pas "terrible" au niveau sécurité (un bénévole qui arrête ..), mais tellement plus pratique.

Bonne journée

Pascal

[Denis Gehle]

Bonjour David,

Je me suis posé la même question au début, mais j'avoue faire le gros dos.

Gérer des comptes individuel c'est compliqué et chronophage.

Les gens oublient régulièrement leurs mots de passe.

Le navigateur sauvegarde les logins (je ne sait pas si WB a un attribut dans le registre pour verrouiller la sauvegarde des logins). Donc ils peuvent se connecter sur n'importe quel compte précédemment utilisé.

Ce que je ferai lorsque j'aurai du courage, c'est de créer un troisième groupe "restreint" pour enlever toutes les fonctions de gestion de liste et d’administration de base qui sont aujourd’hui accessible à tous dans le groupe utilisateur.

D'ailleurs ce serait bien que ce role "Restreint" soit créé par Quentin de base dans le système. En effet, il faut passer sur tous les noeuds dans le registre pour les invalider.

J'ai déjà eu un "désastre" dont j'ai encore des traces quand un utilisateur à supprimé des entrées de liste par erreur et les a recréés avec un autre libellé, mais pour l'instant on vit avec.

Si vous voulez vous lancer, voir la doc WB gestion WB

Bon courage

Denis

[David Dubois]

Merci pour vos réponses.
Il est vrai qu'il est contraignant de créer des comptes pour chacun, mais en terme de RGPD c'est un pas certain et, comme vous l'avez vécu Denis, un moyen de se prévenir d'erreurs éventuelles. Sans compter la désactivation des comptes lorsqu'une personne quitte la bibliothèque.

J'ai réussi à créer des groupes et assigner des utilisateurs, à masquer tel ou tel bouton, sur l'instance de test. Je vais m'atteler à le mettre en place sur notre production.

Je n'ai pas l'impression dans tous les cas, qu'il y ait un log de connexion par utilisateur (où alors c'est sur le serveur, si on installe le logiciel nous-même). Quentin pourra peut-être me le confirmer ?

Bonne fin de week-end,

David

[moccam]

Bonjour,

 

non il n’y a pas de logs de connexion. Par contre, pour chaque notice (que ce soit biblio ou exemplaire ou prêt...) on a un champ “suivi” qui permet de savoir qui l’a modifié en dernier. Mais ce n’est pas le cas pour les modifications du paramétrage .

En effet, seul l’administrateur a accès au registre et aux mots de passe. Par défaut il y a un seul login pour tous les utilisateurs, mais il est tout à fait possible de créer un login différent (et un mot de passe différent) pour chaque utilisateur. Tous ces utilisateurs n’ont pas accès aux mots de passe des autres (puisqu’ils ne sont pas administrateurs) mais l’administrateur a accès à tous les mots de passe. Il est également possible de créer d’autres profils avec des droits d’accès différenciés (par défaut, il y a un profil administrateur et un profil utilisateur, mais on peut en créer d’autres, par exemple “bénévole”...)

 

Effectivement le fait de stocker les mots de passe en clair n’est pas conforme à la RGPD. En théorie, il faudrait les crypter. Quand quelqu’un a oublié son mot de passe, il faudrait un bouton “mot de passe oublié” avec l’envoi d’un mail avec un lien pour créer un nouveau mot de passe. sauf qu’en pratique, la moitié du temps le mail n’arrive jamais, et moi je ne peux pas passer mon temps à débloquer les bibliothèques ou les utilisateurs qui ont oublié leur mot de passe (et je peux vous dire qu’il y en a un paquet ^^).

 

Du coup, voilà... les mots de passe sont en clair, ce n’est pas top mais ça me semble le meilleur compromis entre sécurité et facilité d’utilisation.

 

>> je ne sait pas si WB a un attribut dans le registre pour verrouiller la sauvegarde des logins

non, ce n’est pas un paramétrage de waterbear, mais du navigateur lui-même (on peut demander à firefox par exemple, de ne pas enregistrer les mots de passe si c’est un ordinateur partagé)

 

>> il faut passer sur tous les noeuds dans le registre pour les invalider

N’oubliez pas que la gestion des droits suit la logique de l’héritage. Vous n’avez pas besoin de placer un droit sur chaque nœud du registre. Vous pouvez par exemple interdire la totalité du noeud “admin”. Cela bloquera d’un seul coup tous les noeuds qui se situent dans admin. Et vous pouvez autoriser certains sous-noeuds de admin/xxx au cas par cas si désiré.

 

cordialement,

 

Quentin Chevillon

--
Vous recevez ce message, car vous êtes abonné au groupe Google waterbear.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse waterbear-sig...@googlegroups.com.
Pour afficher cette discussion, accédez à https://groups.google.com/d/msgid/waterbear-sigb/12c2e905-24a2-4b4f-a158-45c6df1c18ban%40googlegroups.com.

[David Dubois]

Bonjour,

Merci Quentin pour votre réponse claire.

Et j'adhère parfaitement à ce compromis  entre sécurité et facilité d’utilisation.
Je vais mettre en place doucement mais sûrement les droits utilisateurs en accompagnant les utilisateurs le maximum possible.

Cordialement,
David