Passwortrichtlinienobjekte sind öffentlich zugänglich, damit Anwendungen überprüfen können, ob Passwörter regelkonform sind. Dies bedeutet, dass ein nicht authentifizierter Benutzer eine Abfrage in einem Identitätsdepot ausführen kann, um herauszufinden, welche Passwortrichtlinien in Kraft sind. Wenn Ihre Passwortrichtlinien es erfordern, dass Benutzer sichere Passwörter erstellen müssen, sollte dies, wie unter “Create Strong Password Policies” im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung) ausgeführt, kein Risiko darstellen.
Mit der Identity Manager-Passwortsynchronisierung können Sie die Vergabe und Verwaltung von Benutzerpasswörtern vereinfachen und dadurch die Helpdesk-Kosten reduzieren. Die bidirektionale Passwortsynchronisierung ermöglicht eDirectory und verbundenen Systemen, Passwörter auf verschiedene Arten gemeinsam zu nutzen. Dies wird in den Szenarios in Schnitt 5.8, Implementierung der Passwortsynchronisierung beschrieben.
Durch das universelle Passwort und die Passwortrichtlinien können Sie die Verwendung von sicheren Passwörtern erzwingen. Verwenden Sie dazu die erweiterten Passwortregeln in den Passwortrichtlinien. Mit diesen befolgen Sie die in der Softwarebranche gängigen Best Practices für Passwörter.
Sie können beispielsweise festlegen, dass Benutzerpasswörter folgende Regeln einhalten müssen:
Sie können verhindern, dass Benutzer Passwörter wiederverwenden, und die Anzahl der Passwörter festlegen, die das System für Vergleiche in der Verlaufsliste speichern soll.
Lange Passwörter verwenden zu müssen, ist eine der besten Möglichkeiten, sie sicherer zu machen.
Wenn sich mindestens ein numerisches Zeichen in einem Passwort befindet, schützt dies vor „Wörterbuchattacken“, bei denen unbefugte Benutzer versuchen, sich durch die Verwendung von Wörtern aus dem Wörterbuch beim System anzumelden.
Sie können Wörter ausschließen, die Sie als Sicherheitsrisiko ansehen, wie z. B. den Firmennamen, den Standort Ihres Unternehmens bzw. die Wörter „test“ oder „admin“. Obwohl die Ausschlussliste nicht dazu dienen soll, ein komplettes Wörterbuch zu importieren, kann sie relativ lang sein. Bedenken Sie, dass eine lange Ausschlussliste den Anmeldevorgang verlangsamt. Ein besserer Schutz vor Wörterbuchattacken besteht darin, Passwörter mit numerischen Zeichen oder bestimmten Sonderzeichen zu versehen.
Beachten Sie bitte, dass Sie mehrere Passwortrichtlinien erstellen können, wenn Sie in unterschiedlichen Teilen des Baums unterschiedliche Passwortanforderungen festgelegt haben. Eine Passwortrichtlinie kann für einen gesamten Baum, einen Partitionsstammcontainer, einen Container oder sogar einen einzelnen Benutzer gelten. (Es wird zur Vereinfachung der Administration allerdings empfohlen, Passwortrichtlinien so hoch wie möglich im Baum zu definieren.)
Zur Erhöhung der Sicherheit können Sie zusätzlich die Unbefugtensperre einsetzen. Mit dieser eDirectory-Funktion geben Sie an, wie viele fehlerhafte Anmeldeversuche möglich sind, bevor ein Konto gesperrt wird. Diese Einstellung nehmen Sie nicht in der Passwortrichtlinie, sondern am übergeordneten Container vor. Weitere Informationen hierzu finden Sie unter “Managing User Accounts” im Novell eDirectory 8.7.3 Administration Guide (Novell eDirectory 8.7.3 Administrationshandbuch).