パスワード セキュリティ

Weblate がパスワードを保存する方法

Weblate は、ハッシュ化されたパスワードを保存するために Django の実装を使用しています。参照: Djangoのパスワード保存方法

推奨される Weblate の設定では、Argon2 を使用し、time_cost = 2、memory_cost = 102400、parallelism = 8 に設定されています。

ヒント

パスワードのハッシュ化は、PASSWORD_HASHERS を使用してカスタマイズします。

パスワードの検証

ユーザーがパスワードを設定したとき、弱いパスワードの使用リスクを減らすために検証が行われます。

推奨される Weblate 設定の検証項目:

  • パスワードは 10 文字以上、72 文字以下にする必要があります。

  • ユーザー名やその他の属性と類似したパスワードは拒否されます。

  • よく使われるパスワードや、あまりに単純なパスワードは拒否されます。

  • ユーザーが最近設定したパスワードはすべて拒否されます。

  • パスワードの強度は、設定すると zxcvbn アルゴリズムを用いて検証されます。

ヒント

パスワードの検証は AUTH_PASSWORD_VALIDATORS を使用してカスタマイズします。

ソーシャル認証またはサードパーティ認証

ソーシャル認証やサードパーティ認証を使用する設定では、Weblate はパスワードを保存せず、パスワード ポリシーも適用しません。この場合、パスワードの管理はすべて外部サービス側で行われます。

参考

認証