Differenze tra le versioni di "Opzioni di sicurezza account utente"

Da wiki.maggioli.it.
Jump to navigation Jump to search
imported>Root
imported>Root
 
(4 versioni intermedie di uno stesso utente non sono mostrate)
Riga 4: Riga 4:
==Opzioni Password==
==Opzioni Password==
Segue una descrizione delle opzioni disponibili nell'interfaccia.
Segue una descrizione delle opzioni disponibili nell'interfaccia.
'''Nota:''' ''Molti dei meccanismi di protezione qui descritti sfruttano il log dell'autenticazione utente. E' quindi necessario evitare di rimuoverne il contenuto, pena un malfunzionamento temporaneo  del sistema di sicurezza (dovuto alla necessità di ripopolare il log).''


===Lunghezza minima in caratteri===
===Lunghezza minima in caratteri===
Riga 23: Riga 25:
Questo parametro, se abilitato, impedisce agli utenti di riutilizzare vecchie password quando effettuano un cambio password. E' comunque possibile, da parte di un amministratore, reimpostare una vecchia password nell'interfaccia di amministrazione utenti.
Questo parametro, se abilitato, impedisce agli utenti di riutilizzare vecchie password quando effettuano un cambio password. E' comunque possibile, da parte di un amministratore, reimpostare una vecchia password nell'interfaccia di amministrazione utenti.


'''Nota:''' Qualora venisse modificato il logon dell'utente, sarà necessario reimpostare la sua password in quanto la crittografazione della password è basata anche sul valore del logon. Inoltre, al cambio del logon viene rimossa tutta la storia delle password utilizzate per la ragione appena descritta.
E' possibile specificare un intervallo in giorni entro il quale le password non possono essere riusate. Se, ad esempio, viene impostato un intervallo di 180 giorni, quando l'utente reimposta la sua password non potrà utilizzare le password che ha già utilizzato negli ultimi 180 giorni. Tali password potranno essere utilizzate nuovamente quando la loro "età di pensionamento" supererà il parametro.
Se l'intervallo non viene impostato, le password non potranno essere mai riutilizzate (e' possibile impostare o cancellare l'intervallo in un secondo momento).


'''Nota:''' I meccanismo di protezione qui descritti si appoggiano al log dell'autenticazione utenti. E' quindi necessario evitare di cancellarne il contenuto, pena un malfunzionamento temporaneo del sistema di sicurezza.
'''Nota:''' ''E' opportuno impostare un intervallo superiore a quello che forza il cambio password dell'utente, altrimenti esso risulterà inefficace.''
 
'''Nota:''' ''Qualora venisse modificato il logon dell'utente, sarà necessario reimpostare la sua password in quanto la crittografazione della password è basata anche sul valore del logon. Inoltre, al cambio del logon viene rimossa tutta la storia delle password utilizzate per la ragione appena descritta.''


==Abilitazione dei Web Services in entrata==
==Abilitazione dei Web Services in entrata==
Esiste un Web Service che permette di comandare il sistema di gestione degli utenti dall'esterno dell'applicativo. Normalmente questo è disattivato, e si raccomanda di lasciarlo disattivato a meno di non avere necessità particolari, in quanto questo diminuisce il livello di sicurezza dell'applicativo.
Esiste un Web Service che permette di comandare il sistema di gestione degli utenti dall'esterno dell'applicativo. Normalmente questo è disattivato, e si raccomanda di lasciarlo disattivato a meno di non avere necessità particolari, in quanto questo diminuisce il livello di sicurezza dell'applicativo.
==Obbligo di cambio password ogni N giorni==
Essendo un parametro legato all'utente, non è presente in questa interfaccia bensì nell'interfaccia di gestione dei singoli utenti.

Versione attuale delle 19:02, 8 lug 2009

Introduzione

A seconda del tipo di installazione sono necessari criteri di sicurezza più o meno stringenti. Il sistema permette una vasta gamma di configurazioni. Questa interfaccia permette di definire la opzioni globali di sicurezza.

Opzioni Password

Segue una descrizione delle opzioni disponibili nell'interfaccia.

Nota: Molti dei meccanismi di protezione qui descritti sfruttano il log dell'autenticazione utente. E' quindi necessario evitare di rimuoverne il contenuto, pena un malfunzionamento temporaneo del sistema di sicurezza (dovuto alla necessità di ripopolare il log).

Lunghezza minima in caratteri

E' possibile forzare una lunghezza minima per le nuove password introdotte nel sistema. Se non viene specificato nulla, il valore predefinito e' 1. Le password preesistenti non vengono coinvolte dalla modifica di questo parametro.

Numero minimo di cifre contenute

Per aumentare il livello di sicurezza è possibile obbligare l'inserimento di un certo numero di caratteri numerici all'interno di ogni password. Questo dovrebbe rendere più difficile l'individuazione di password basate su parole compiute (normalmente gli utenti tendono ad usare come password delle parole di facile memorizzazione, ma anche di facile deduzione da parte degli attaccanti). Le password preesistenti non vengono coinvolte dalla modifica di questo parametro.

Disattivazione automatica degli account per inattività

Se impostato, questo parametro indica il numero di giorni massimo di inattività di un account utente. Per inattività si intende il mancato accesso all'account. Se un account supera questo limite massimo di inattività, in fase di logon l'utente vedrà un messaggio che descrive la situazione e l'account viene disattivato. E' possibile riattivare l'account da parte di un amministratore, nella gestione utenti. Gli account di servizio (setup e super utenti) non vengono coinvolti da questa impostazione.

Disattivazione per numero eccessivo di autenticazioni fallite

Se impostato, definisce il numero di autenticazioni fallite consecutivamente oltre il quale l'account viene disattivato dal sistema. Se, ad esempio, viene impostato 3, alla terza autenticazione fallita l'account viene disattivato. Il valore minimo è 1, che non permette alcun errore di autenticazione. Come autenticazione viene considerata sia quella nativa dell'applicazione che quella effettuata tramite LDAP. E' possibile riattivare l'account da parte di un amministratore, nella gestione utenti. Gli account di servizio (setup e super utenti) non vengono coinvolti da questa impostazione. Dato che questo potrebbe essere una falla delle sicurezza, al posto della disattivazione viene adottato un ritardo. Quando si verifica il numero definito di fallimenti consecutivi l'account viene bloccato temporaneamente per 5 minuti. Se allo sblocco si verificano ancora errori di autenticazione, l'account viene bloccato per periodi via via maggiori (15 min, 30 min, 60 min, 2 ore, 4 ore e via dicendo fino ad arrivare ad un massimo di 48 ore).

Obbligo di cambio password al primo accesso

Questo parametro obbliga l'utente a reimpostare la password quando questi sta effettuando il primo accesso all'applicativo.

Controllo password già utilizzate

Questo parametro, se abilitato, impedisce agli utenti di riutilizzare vecchie password quando effettuano un cambio password. E' comunque possibile, da parte di un amministratore, reimpostare una vecchia password nell'interfaccia di amministrazione utenti.

E' possibile specificare un intervallo in giorni entro il quale le password non possono essere riusate. Se, ad esempio, viene impostato un intervallo di 180 giorni, quando l'utente reimposta la sua password non potrà utilizzare le password che ha già utilizzato negli ultimi 180 giorni. Tali password potranno essere utilizzate nuovamente quando la loro "età di pensionamento" supererà il parametro. Se l'intervallo non viene impostato, le password non potranno essere mai riutilizzate (e' possibile impostare o cancellare l'intervallo in un secondo momento).

Nota: E' opportuno impostare un intervallo superiore a quello che forza il cambio password dell'utente, altrimenti esso risulterà inefficace.

Nota: Qualora venisse modificato il logon dell'utente, sarà necessario reimpostare la sua password in quanto la crittografazione della password è basata anche sul valore del logon. Inoltre, al cambio del logon viene rimossa tutta la storia delle password utilizzate per la ragione appena descritta.

Abilitazione dei Web Services in entrata

Esiste un Web Service che permette di comandare il sistema di gestione degli utenti dall'esterno dell'applicativo. Normalmente questo è disattivato, e si raccomanda di lasciarlo disattivato a meno di non avere necessità particolari, in quanto questo diminuisce il livello di sicurezza dell'applicativo.

Obbligo di cambio password ogni N giorni

Essendo un parametro legato all'utente, non è presente in questa interfaccia bensì nell'interfaccia di gestione dei singoli utenti.