Novell Documentation: Novell Identity Manager 3

7.3 管理密碼

當您選擇在已連接系統之間交換資訊時，應小心確保交換是安全的。對於密碼而言更是如此。

「密碼提示」屬性 (nsimHint) 也是可公開讀取的，以允許忘記密碼的未經驗證使用者存取自己的提示。「密碼提示」有助於減少 Help Desk 的電話。
為了安全起見，系統會檢查「密碼提示」以確保其中不包含使用者的實際密碼。然而，使用者仍可能建立含有過多密碼相關資訊的「密碼提示」。

若要增加使用「密碼提示」時的安全性，請執行下列動作：
- 只允許在用於「密碼自助服務」的 LDAP 伺服器上存取 nsimHint 屬性。
- 需要使用者先回答「處理安全問題」，然後才能收到「密碼提示」。
- 提醒使用者建立只有使用者本人能理解的「密碼提示」。密碼規則中的「密碼變更訊息」即為這樣一種方式。請參閱《密碼管理管理指南》中的「新增密碼變更訊息」。
如果您選擇根本不使用「密碼提示」，請確定不會在任何密碼規則中使用它。若要防止設定「密碼提示」，您可以進一步完全移除「提示設定」顯示裝置，如《密碼管理管理指南》的「移除提示顯示裝置以停用密碼提示」中所述。
「處理安全問題」是可公開讀取的，以允許忘記密碼的未經驗證使用者以另一種方法進行驗證。因為使用者必須先提供正確的回應以證明其身份，才能收到忘記的密碼或「密碼提示」，所以要求「處理安全問題」可增加「忘記密碼自助服務」的安全性。
由於系統會為「處理安全問題」強制執行帳戶鎖定狀態設定，所以侵入者嘗試失敗的次數是受到限制的。

然而，使用者可以建立保留密碼線索的「處理安全問題」。提醒使用者建立只有使用者本人能理解的「處理安全問題」和「回應」。密碼規則中的「密碼變更訊息」即為這樣一種方式。請參閱《密碼管理管理指南》中的「新增密碼變更訊息」。
為了安全起見，只有在您需要使用者回答「處理安全問題」時，才能使用「忘記密碼」動作：「將密碼以電子郵件傳送至使用者」和「允許使用者重設密碼」。
針對由管理員變更的「通用密碼」，已將安全性增強功能新增至 NMAS™ 2.3.4。其運作方式在本質上與先前提供給「NDS® 密碼」的功能相同。
如果管理員變更使用者的密碼 (例如，在建立新使用者或回應 Help Desk 呼叫時)，則當您已啟用使密碼規則中的密碼過期的設定時，密碼會自動過期。密碼規則中的設定位於「進階密碼規則」中，名為「密碼過期之前的天數 (0-365)」。對於此項特定功能，雖然天數並不重要，但是必須啟用該設定。