web-dev-qa-db-fra.com

Bibliothèque de vérification de la force des mots de passe

Quelqu'un peut-il recommander une bibliothèque Java qui contient des méthodes adaptées à la vérification de la force des mots de passe côté serveur dans une webapp. Idéalement, le vérificateur doit être:

  • configurable, permettant au déployeur de fournir différents dictionnaires, d'ajuster les poids de différents critères, etc.
  • extensible permettant la mise en œuvre de nouveaux critères si nécessaire
  • implémenté en Java pur
  • pas fondamentalement entrelacé avec une bibliothèque de balises, des composants d'interface utilisateur ou une fonctionnalité de "gestion des mots de passe"
  • compatible avec un projet GPL 3
  • compatible avec le câblage à ressort
  • mavenized (idéalement disponible via Maven Central)
javapasswords
56
Stephen C

Jetez un œil à vt-password :

  • configurable, permettant au déployeur de fournir différents dictionnaires, d'ajuster les poids de différents critères, etc. - Partiellement (oui aux configurables, dictionnaires, non aux critères pondérés )
  • extensible permettant de mettre en œuvre de nouveaux critères si nécessaire - Oui
  • implémenté en pur Java - Oui (et javadoc décent)
  • pas fondamentalement entrelacé avec une bibliothèque de balises, des composants d'interface utilisateur ou une fonctionnalité de "gestion des mots de passe" - Oui
  • compatible avec un projet GPL 3 - Oui (licence double LGPLv3/APLv2 en novembre 2013)
  • compatible avec le câblage Spring - Ressemble à
  • mavenized (idéalement disponible via Maven Central) - Oui (dans la version centrale depuis la version 3.0)

Mise à jour par @Stephen C.

Les gars qui font vt-password ont apporté un certain nombre d'améliorations API depuis la réponse à la question, et l'un des résultats est que les classes sont beaucoup plus faciles à configurer à l'aide de Spring IoC. Ils l'ont également téléchargé sur Maven Central: http://mvnrepository.com/artifact/edu.vt.middleware/vt-password

66
Pascal Thivent

Ceci est une réponse de suivi pour dire que j'ai ai utilisé vt-password, et je suis satisfait des résultats.

J'ai commencé avec vt-password version 2.0 et l'ai piraté un peu pour le faire fonctionner avec le câblage Spring, et résoudre les problèmes de sécurité des threads auxquels j'ai fait allusion dans mes commentaires sur la réponse de @ Pascal. C'était suffisant pour continuer.

Il y a quelques semaines, l'équipe de vt-middleware a publié vt-password 3.0, basé (en petite partie) sur mes commentaires concernant 2.0. Cette nouvelle version a résolu tous les problèmes que j'avais piratés, et j'ai maintenant abandonné mes mods locaux et j'utilise vt-password 3.0 tel quel. Ils ont également téléchargé leurs contenus sur Maven Central et amélioré la documentation en ligne.

10
Stephen C