密碼規則物件是可公開讀取的,以允許應用程式檢查密碼是否相符。 這表示未經驗證的使用者可以查詢 Identity Vault,瞭解您所使用的密碼規則。 如果您的密碼規則需要使用者建立增強式密碼,這不應該會造成風險,如《密碼管理管理指南》的「建立增強式密碼規則」中所述。
「Identity Manager 密碼同步化」可讓您簡化使用者密碼,並減少 Help Desk 成本。 雙向密碼同步化可讓您以多種方式在 eDirectory 與已連接系統之間共享密碼,如節 5.8, 實作密碼同步化的案例中所述。
使用「通用密碼」和密碼規則可讓您對使用者強制執行增強式密碼要求。 使用密碼規則中的「進階密碼規則」,以遵循業界對密碼的最佳作法。
例如,您可以要求使用者密碼遵守下列規則:
您可以防止使用者重複使用密碼,並控制系統應在歷程清單中儲存以供比較的密碼數目。
要求較長的密碼是增強密碼的最佳方法之一。
要求密碼中至少包含一個數值字元,有助於防止「字典攻擊」,即侵入者嘗試使用字典中的單字來登入。
您可以排除您認為有安全性風險的單字 (例如,公司名稱或地點),或者單字 test 或 admin。 雖然排除清單並非要您輸入整個字典中的單字,但是您排除的單字清單可能會很長。 請記住,排除項目的清單太長會讓使用者登入速度緩慢。 要求使用數字或特殊字元也許會是防止字典攻擊的更好方法。
請記住,如果您在網路樹的不同部份具有不同的密碼要求,則可以建立多個密碼規則。 您可以將密碼規則指定至整個網路樹、分割區根容器、容器,甚至是個別使用者 (為了簡化管理,我們建議您將密碼規則儘量指定至網路樹中的高層級)。
此外,您還可以使用帳戶鎖定狀態。 此 eDirectory 功能始終可讓您指定在鎖定帳戶之前,允許的登入嘗試失敗次數。 這是父容器上 (而非密碼規則中) 的設定。 請參閱《Novell eDirectory 8.7.3 管理指南》中的「管理使用者帳戶」。