<p dir="ltr">This needs to be proposed as a spec, not just a blueprint. </p>
<p dir="ltr">For what it is worth, this has been discussed many times and it was determined that keystone as a project was not interested in really managing the life cycle of passwords on this front. Since we support the use of real Identity Stores and Identity Providers that have this functionality, password life cycle (complexity, minimum number of passwords before reuse, minimum/max life span of passwords) instead of the local sql-store, we were going to rely on these (LDAP Identity, federated identity, etc).</p>
<p dir="ltr">It was also determined that if we were going to go down the path of being a full-featured identity store/provider in SQL we need clear support/commitment from orgs to help maintain these features as it is a significant scope increase to the Identity Store; adding in password lockouts is just the tip of the iceberg and we need to consider all the functionality as well. </p>
<p dir="ltr">So, in short:</p>
<p dir="ltr">* This is not a bad conversation to have again. It is worth considering as a conversation for the next summit in my opinion.</p>
<p dir="ltr">* it needs to be a spec (proposed to the Identity-specs repo). </p>
<p dir="ltr">I look forward to seeing where this goes. </p>
<p dir="ltr">--Morgan</p>
<div class="gmail_quote">On Jan 11, 2016 23:32, "Youwenwei" <<a href="mailto:youwenwei@huawei.com">youwenwei@huawei.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="ZH-CN" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span lang="EN-US">I have registered a new bp for keystone with the capability of anti brute force
<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
<p style="line-height:13.5pt"><span lang="EN" style="font-size:9.0pt;font-family:"Arial","sans-serif";color:#333333">Problem Description:<br>
the attacks of account are increasing in the cloud<br>
the attacker steals the account information by guessing the password in brute force.<br>
therefore, the ability of account in anti brute force is necessary.<u></u><u></u></span></p>
<p style="line-height:13.5pt"><span lang="EN" style="font-size:9.0pt;font-family:"Arial","sans-serif";color:#333333">proposed Change:<br>
1. add two configure properties for keystone: threshold for times of password error consecutively, time of locked when password error number reaches the threshold.<br>
2. add two properties of user information in times of password consecutive errors, and last password error time. when the password of an account error consecutively reaches threshold, the account will be locked with a few time.<br>
3. locked account will unlock automatically when locked status time out<br>
4. the APIs of keystone which use user_name and password for authentication, the message of response will add an error description when the account is locked<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><a href="https://blueprints.launchpad.net/keystone/+spec/anti-brute-force" target="_blank">https://blueprints.launchpad.net/keystone/+spec/anti-brute-force</a><u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
</div>
</div>

<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div>