Differenze tra le versioni di "Opzioni di sicurezza account utente"

Da wiki.maggioli.it.
Jump to navigation Jump to search
imported>Root
(Nuova pagina: Questa interfaccia permette di definire le opzioni di sicurezza globale.)
 
imported>Root
Riga 1: Riga 1:
Questa interfaccia permette di definire le opzioni di sicurezza globale.
==Introduzione==
A seconda del tipo di installazione sono necessari criteri di sicurezza più o meno stringenti. Il sistema permette una vasta gamma di configurazioni. Questa interfaccia permette di definire la opzioni globali di sicurezza.
 
==Opzioni Password==
Segue una descrizione delle opzioni disponibili nell'interfaccia.
 
===Lunghezza minima in caratteri===
E' possibile forzare una lunghezza minima per le nuove password introdotte nel sistema. Se non viene specificato nulla, il valore predefinito e' 1. Le password preesistenti non vengono coinvolte dalla modifica di questo parametro.
 
===Numero minimo di cifre contenute===
Per aumentare il livello di sicurezza è possibile obbligare l'inserimento di un certo numero di caratteri numerici all'interno di ogni password. Questo dovrebbe rendere più difficile l'individuazione di password basate su parole compiute (normalmente gli utenti tendono ad usare come password delle parole di facile memorizzazione, ma anche di facile deduzione da parte degli attaccanti). Le password preesistenti non vengono coinvolte dalla modifica di questo parametro.
 
===Disattivazione automatica degli account per inattività===
Se impostato, questo parametro indica il numero di giorni massimo di inattività di un account utente. Per inattività si intende il mancato accesso all'account. Se un account supera questo limite massimo di inattività, in fase di logon l'utente vedrà un messaggio che descrive la situazione e l'account viene disattivato. E' possibile riattivare l'account da parte di un amministratore, nella gestione utenti. Gli account di servizio (setup e super utenti) non vengono coinvolti da questa impostazione.
 
===Disattivazione per numero eccessivo di autenticazioni fallite===
Se impostato, definisce il numero di autenticazioni fallite consecutivamente oltre il quale l'account viene disattivato dal sistema. Se, ad esempio, viene impostato 3, alla terza autenticazione fallita l'account viene disattivato. Il valore minimo è 1, che non permette alcun errore di autenticazione. Come autenticazione viene considerata sia quella nativa dell'applicazione che quella effettuata tramite LDAP. E' possibile riattivare l'account da parte di un amministratore, nella gestione utenti. Gli account di servizio (setup e super utenti) non vengono coinvolti da questa impostazione. Dato che questo potrebbe essere una falla delle sicurezza, al posto della disattivazione viene adottato un ritardo. Quando si verifica il numero definito di fallimenti consecutivi l'account viene bloccato temporaneamente per 5 minuti. Se allo sblocco si verificano ancora errori di autenticazione, l'account viene bloccato per periodi via via maggiori (15 min, 30 min, 60 min, 2 ore, 4 ore e via dicendo fino ad arrivare ad un massimo di 48 ore).
 
===Obbligo di cambio password al primo accesso===
Questo parametro obbliga l'utente a reimpostare la password quando questi sta effettuando il primo accesso all'applicativo.
 
===Controllo password già utilizzate===
Questo parametro, se abilitato, impedisce agli utenti di riutilizzare vecchie password quando effettuano un cambio password. E' comunque possibile, da parte di un amministratore, reimpostare una vecchia password nell'interfaccia di amministrazione utenti.
 
'''Nota:''' Qualora venisse modificato il logon dell'utente, sarà necessario reimpostare la sua password in quanto la crittografazione della password è basata anche sul valore del logon. Inoltre, al cambio del logon viene rimossa tutta la storia delle password utilizzate per la ragione appena descritta.
 
'''Nota:''' I meccanismo di protezione qui descritti si appoggiano al log dell'autenticazione utenti. E' quindi necessario evitare di cancellarne il contenuto, pena un malfunzionamento temporaneo del sistema di sicurezza.
 
==Abilitazione dei Web Services in entrata==
Esiste un Web Service che permette di comandare il sistema di gestione degli utenti dall'esterno dell'applicativo. Normalmente questo è disattivato, e si raccomanda di lasciarlo disattivato a meno di non avere necessità particolari, in quanto questo diminuisce il livello di sicurezza dell'applicativo.

Versione delle 08:38, 7 lug 2009

Introduzione

A seconda del tipo di installazione sono necessari criteri di sicurezza più o meno stringenti. Il sistema permette una vasta gamma di configurazioni. Questa interfaccia permette di definire la opzioni globali di sicurezza.

Opzioni Password

Segue una descrizione delle opzioni disponibili nell'interfaccia.

Lunghezza minima in caratteri

E' possibile forzare una lunghezza minima per le nuove password introdotte nel sistema. Se non viene specificato nulla, il valore predefinito e' 1. Le password preesistenti non vengono coinvolte dalla modifica di questo parametro.

Numero minimo di cifre contenute

Per aumentare il livello di sicurezza è possibile obbligare l'inserimento di un certo numero di caratteri numerici all'interno di ogni password. Questo dovrebbe rendere più difficile l'individuazione di password basate su parole compiute (normalmente gli utenti tendono ad usare come password delle parole di facile memorizzazione, ma anche di facile deduzione da parte degli attaccanti). Le password preesistenti non vengono coinvolte dalla modifica di questo parametro.

Disattivazione automatica degli account per inattività

Se impostato, questo parametro indica il numero di giorni massimo di inattività di un account utente. Per inattività si intende il mancato accesso all'account. Se un account supera questo limite massimo di inattività, in fase di logon l'utente vedrà un messaggio che descrive la situazione e l'account viene disattivato. E' possibile riattivare l'account da parte di un amministratore, nella gestione utenti. Gli account di servizio (setup e super utenti) non vengono coinvolti da questa impostazione.

Disattivazione per numero eccessivo di autenticazioni fallite

Se impostato, definisce il numero di autenticazioni fallite consecutivamente oltre il quale l'account viene disattivato dal sistema. Se, ad esempio, viene impostato 3, alla terza autenticazione fallita l'account viene disattivato. Il valore minimo è 1, che non permette alcun errore di autenticazione. Come autenticazione viene considerata sia quella nativa dell'applicazione che quella effettuata tramite LDAP. E' possibile riattivare l'account da parte di un amministratore, nella gestione utenti. Gli account di servizio (setup e super utenti) non vengono coinvolti da questa impostazione. Dato che questo potrebbe essere una falla delle sicurezza, al posto della disattivazione viene adottato un ritardo. Quando si verifica il numero definito di fallimenti consecutivi l'account viene bloccato temporaneamente per 5 minuti. Se allo sblocco si verificano ancora errori di autenticazione, l'account viene bloccato per periodi via via maggiori (15 min, 30 min, 60 min, 2 ore, 4 ore e via dicendo fino ad arrivare ad un massimo di 48 ore).

Obbligo di cambio password al primo accesso

Questo parametro obbliga l'utente a reimpostare la password quando questi sta effettuando il primo accesso all'applicativo.

Controllo password già utilizzate

Questo parametro, se abilitato, impedisce agli utenti di riutilizzare vecchie password quando effettuano un cambio password. E' comunque possibile, da parte di un amministratore, reimpostare una vecchia password nell'interfaccia di amministrazione utenti.

Nota: Qualora venisse modificato il logon dell'utente, sarà necessario reimpostare la sua password in quanto la crittografazione della password è basata anche sul valore del logon. Inoltre, al cambio del logon viene rimossa tutta la storia delle password utilizzate per la ragione appena descritta.

Nota: I meccanismo di protezione qui descritti si appoggiano al log dell'autenticazione utenti. E' quindi necessario evitare di cancellarne il contenuto, pena un malfunzionamento temporaneo del sistema di sicurezza.

Abilitazione dei Web Services in entrata

Esiste un Web Service che permette di comandare il sistema di gestione degli utenti dall'esterno dell'applicativo. Normalmente questo è disattivato, e si raccomanda di lasciarlo disattivato a meno di non avere necessità particolari, in quanto questo diminuisce il livello di sicurezza dell'applicativo.