Seguridad de contraseña

Como almacenar las contraseñas de Weblate

Weblate utiliza una implementación de Django para almacenar contraseñas en hash; consulte How Django stores passwords.

La configuración recomendada de Weblate utiliza Argon2 con time_cost = 2, memory_cost = 102400 y parallelism = 8.

Consejo

La creación de hash de contraseña puede personalizarse mediante PASSWORD_HASHERS.

Validación por contraseña

Cuando un usuario configura una contraseña, ésta se valida para reducir el riesgo de utilizar contraseñas débiles.

La configuración recomendada de Weblate verifica:

• La contraseña tiene que ser de al menos 10 caracteres largos, y como mucho 72 caracteres largos.

• Se rechaza una contraseña similar al nombre de usuario y otros atributos.

• Se rechaza una contraseña común o demasiado simple.

• Cualquier contraseña utilizada recientemente por el usuario será rechazada.

• La fortaleza de la contraseña se verifica opcionalmente utilizando el algoritmo zxcvbn.

Consejo

La validación de copias de respaldo puede personalizarse mediante AUTH_PASSWORD_VALIDATORS.

Autenticación social o de terceros

Weblate no almacena contraseñas ni aplica ninguna política de contraseñas cuando se configura la autenticación social o de terceros. En tal caso, las contraseñas se gestionan completamente de forma externa.

Ver también

Autenticación