Настраиваемые политики паролей в Lotus Notes и Domino 7

2.2 Общий обзор настраиваемых политик паролей

Теперь, после того как мы изучили основы политик и параметров политик, давайте снова обратимся к паролям. Новые возможности Notes и Domino 7, относящиеся к паролям, предназначены как для администраторов, так и для конечных пользователей.

Действительно, и тем и другим нужна более совершенная система управления паролями, поскольку пользователи и администраторы в вопросе паролей ведут постоянную борьбу, находясь по разные стороны баррикады.

Пароли иногда оказываются слишком сложными для конечных пользователей. Именно пароли предоставляют пользователям санкционированный доступ к системам и приложениям, таким, как Lotus Notes, одновременно препятствуя несанкционированному доступу к учетным записям, почте и другой конфиденциальной информации. Поэтому большинство пользователей понимают, что пароли — это хорошо. Однако общеизвестно, что пользователи плохо запоминают пароли, им не нравятся плохо запоминающиеся пароли, их раздражает, что в пароле нельзя указать дату своего рождения или имя домашнего животного, и они недовольны тем, что пароль нельзя записать на бумаге и спрятать под клавиатуру. С точки зрения пользователя пароль должен быть маленькой, простой формальностью, не сложнее чем bob, sailing, password или notes.

Пароли могут создавать трудности и для администраторов. Администратор должен обеспечить, чтобы пароль был достаточно сложным, чтобы системы, которые этот пароль защищает (особенно, Lotus Notes, как система обмена сообщениями на предприятии, служащая основой повседневной работы бизнеса), были защищены в достаточной мере. Нужно, чтобы пароль было непросто угадать и чтобы он предотвращал несанкционированный доступ к учетным записям пользователей. Администраторы считают, что пароль должен быть настоящим вызовом для умственных способностей пользователя, преодолевая который он подтверждает свое желание получить доступ к Lotus Notes, вводя такие пароли, как puttingthe*I*innotesID или stream&pond#river%lake!sea$ocean.

Все это порождает непрерывный поток жалоб как со стороны пользователей, которые считают, что от них требуют запоминать слишком сложные пароли, так и со стороны администраторов, которые прекрасно понимают, на что жалуются пользователи, но не находят ничего лучше, чем сделать пароли еще сложнее.

Проблемы, которые возникают у пользователей с паролями, несомненно, усугубляются тем, что многие организации начинают внедрять корпоративные политики безопасности относительно длины и сложности пароля. Чтобы еще больше усложнить задачу администраторов, в последние законы по защите информации и обеспечению неприкосновенности данных (например, итальянский закон о приватности) были внесены требования по выбору безопасных паролей, которые должны выполняться на уровне организаций.

Нет такого чудесного лекарства, которое сделало бы пользователей счастливыми, заставило бы администраторов ослабить свою позицию относительно паролей и сделало бы систему соответствующей новым нормативам (корпоративным, определяемым службой безопасности, или диктуемым законами). Однако новые возможности Domino 7 обещают как минимум упростить управление паролями в Notes.

А именно была добавлена настаиваемая политика паролей, помогающая администраторам конфигурировать и обеспечивать использование конкретных параметров паролей, чтобы выбираемые пароли были безопасными. Как минимум эти политики обеспечивают невысокую предсказуемость паролей, что в любом случае будет хорошим методом обеспечения безопасности. Как максимум их можно использовать для того, чтобы организация могла обеспечить выполнение требований к паролям на основе почти любого набора корпоративных или регулируемых законом набора правил и, возможно, для того, чтобы найти такие пароли, которые окажутся золотой серединой для всех вовлеченных в это сторон.

Настраиваемые политики паролей создаются и применяются с использованием документа параметров политики безопасности. При помощи настраиваемой политики паролей администраторы могут разрешать, ограничивать или запрещать использование в паролях следующих элементов:

• Имени пользователя как части пароля. Если имя пользователя, например John Doe, вы можете с помощью настраиваемой политики паролей ограничить или запретить использование таких паролей, как johndoe456, jdoel23 или johnd789.
• Повторяющихся символов. Если пользователь решит применить трюк с повторяющимися символами, вы можете создать настраиваемую политику паролей, которая ограничит или запретит использование таких паролей, как 122333444455555, wooooow и даже jt>00007.
• Уникальных символов. У организации могут быть причины воспрепятствовать использованию специальных символов в паролях, чтобы пароли были едиными для всех систем в масштабе всей организации. Например, все системы могут обрабатывать базовые 7-разрядные символы ASCII, но некоторые могут не распознавать все, что выходит за эти пределы (Lotus Notes сюда не относится, поскольку эта система обрабатывает все символы Unicode), или, например, некоторые символы могут быть управляющими для некоторых систем и их нужно избегать, чтобы не возникали проблемы. Следовательно, можно создать настраиваемую политику паролей, которая ограничит или запретит использование таких паролей, как s r nit , john#doe или jt>007!.
• Специальных символов (таких, как знаки пунктуации), чисел, символов в верхнем или нижнем регистре. С целью предотвращения атак методом прямого подбора, многие организации создают политику паролей, которая требует использовать как минимум один специальный символ, одно число или применять символы в разных регистрах. Вы можете создать настраиваемую политику паролей, которая обеспечит выполнение политики организации и потребует от пользователей создавать такие пароли, как Me&Myself&l или Me?You?The2ofUs. В частности, в настраиваемой политике паролей можно указать, чтобы:
  • пароли начинались или заканчивались определенными типами символов;
  • в паролях использовалась комбинация символов в разных регистрах и небуквенных СИМВОЛОВ;
  • максимальную и минимальную длину пароля.

В настраиваемой политике паролей администраторы также могут потребовать, чтобы пользователи изменяли свой пароль после первого использования.

Другим огромным преимуществом настраиваемых политик паролей является возможность устанавливать разные требования к паролям для разных типов пользователей на основе групп, к которым они принадлежат, их местоположения в дереве организации или их обоснованностью в соответствии с исключениями на основе корпоративных или законодательных требований. Например, финансовой группе необходима очень строгая политика паролей, соответствующая нормативам, введенным государственными организациями для финансовых органов, а группе маркетинга политика, возможно, вообще не нужна.

Наконец, обратите внимание, что некоторые возможности, дающие возможность пользователям Lotus Notes и Domino самостоятельно управлять паролями (например, сроком действия, синхронизацией, периодом отсрочки и историей паролей), существуют в политиках безопасности начиная с Domino 6. Главной целью настраиваемых политик безопасности Domino 7 является определение самого создаваемого пароля, т.е. его надежности, длины и сложности. Тем не менее нужно понимать, что у настраиваемых политик паролей есть ограничения и эти политики:

• Не поддерживают генерацию случайных паролей как при регистрации пользователя, так и в окне User Security (Безопасность пользователя). Когда применяется настраиваемая политика паролей, пользователи должны вводить пароль, когда им предлагается это сделать.
• Не применяются к ID, защищенным несколькими паролями.
• Не применяются к ID, защищенным смарт-картами.