Revision und technische Details

[botschi]

Moin,

wir haben demnächst eine Revision und ich bin mittendrin statt nur dabei...

An mich wurden u.a. diese Fragen herangetragen
Wo wird das Pwd abgelegt?
Wird es verschlüsselt abgelegt?
Werden die Benutzerpasswörter auf triviale Pwd geprüft?

die ich weitesgehend beantworten könnte.
Ist hier zufällig jemand zugegen, der mir noch einen Satz zur "Technik" sagen kann?

Zur Frage "Wo wird das Pwd abgelegt?" kann ich nur sagen: in der ID des Users
Und zu "Wird es verschlüsselt abgelegt?" würde ich sagen: Ja, mit 64 Bit RC2 (im Moment)
Bei "Werden die Benutzerpasswörter auf triviale Pwd geprüft?" fällt mir nur ein: bei der Registrierung der User kann ich die "Kennwortqualität" festlegen, aber das kann der User ja wieder ändern.

Fällt jemandem noch etwas mehr ein oder hat gar eine Quelle für sowas?
Ich durchsuche gerade die Hilfe und das Forum hier.

Danke für Tipps!
Matthias

[m3]

Das ist so nicht ganz korrekt.

Man muss Notes-Client und Web-Client unterscheiden!

Notes-Client:
1) Es gibt kein "Passwort" (siehe auch "There is no spoon"). Die Anmeldung an Notes erfolgt auf Basis der Public/Private Key Verschlüsselung mittels eines Client-Zertifikates, das in der Notes-ID gespeichert ist. Dieses Zertifikat ist durch ein Passwort geschützt, das in der Notes-ID verschlüsselt abgelegt ist.
Sie auch "Password-protection for Notes and Domino IDs"  in der ADmin-Hilfe:

By default, Notes and Domino use passwords only to protect information stored in ID files. However, you can configure servers to verify passwords and Notes public keys during authentication. Password and public-key verification reduces the unauthorized use of IDs. If you set up a server to verify passwords and an unauthorized user obtains an ID and its password, the authorized user just needs to change the password for the ID. Then, the next time the unauthorized user attempts to authenticate, that user will not be allowed access to the server because Domino informs the user that they must change the password on this copy of the ID to match that on another copy of their ID (which the unauthorized user doesn't know).
Along with verifying passwords, you can set up servers to require users to change their password periodically.

2) Zur Verschlüsselung muss ich noch was nachschauen, das liefere ich noch nach

3) Aus der 6.5er Admin-Hilfe, Kapitel "Password-protection for Notes and Domino IDs ":

The password quality level you assign is enforced when you enter a password for new IDs or when users change the password for an existing ID. When users change their passwords, Notes displays information about the password quality level required by the ID file. Users must enter a password that meets the criteria for the level; otherwise, they are not allowed to change the password.

Den Web-Part liefere ich ebenfalls, wenn ich daheim bin, nach.

[m3]

Notes Client:
ad 1) Zum Passwort des ID-Files:

On the Security Basics tab of the ID Properties dialog box, the ID file encryption strength is most likely shown as 64 bits. This indicates that the ID file itself is encrypted with a 64-bit “password-derived key,” which is created from a hash of your password. This is unrelated to the key lengths used by Notes and Domino for other purposes, but it is part of the overall security picture. The ID files contain private keys, so the level of protection given by the password and encryption algorithm are an important factor in keeping the private keys secure. In Notes and Domino 7, 128-bit keys for protection of ID files are available, but earlier versions of Notes can only read ID files that have 64-bit password-derived keys. When registering ID files in Domino Administrator 7, you can choose the strength of the password-derived key that is used by selecting from the drop-down list in the Password Options dialog box

ad 2: http://atnotes.de/index.php?topic=36213.msg227827#msg227827
Sowie Security Considerations in Notes and Domino 7: Making Great Security Easier to Implement

[m3]

Ad Web-Passwörter:

1) Wo wird das Pwd abgelegt?
Im Domino Directory.

2) Wird es verschlüsselt abgelegt?
Kommt auf die Domino-Version und die Settings an:

Domino offers the choice of two algorithms for storing the Internet password in the Person record. The original format is a single unsalted hash. In Domino 4.6, a second format was introduced, known as the "More secure Internet password format," which is a salted hash. When using this format, the string "(355E98E7C7B59BD810ED845AD0FD2FC4)" will not be the hash for the string "password," and the hashed value will be different for every user who chooses the same password value. This format is not backwards-compatible with Domino R4.5, so all servers must be at R4.6 or higher. IBM Lotus strongly recommends the use of the "More secure Internet password format" for storing Internet passwords in the Domino Directory.

Does the PasswordDigest field contain a hashed value of the user's Notes ID password?
Setting More Secure Internet Passwords in Domino Directory Profile Has No Effect
How to Upgrade to More Secure Internet Password Format
Configuring xACLs to protect Internet Password fields in the Domino Directory

3) Werden die Benutzerpasswörter auf triviale Pwd geprüft?

Lotus Domino does not provide the password policy capabilities with Web authentication out-of-the-box, although Lotus Domino 7 provides the ability to enforce Internet password changes after a specified length of time. This enforcement of password changes is available in current versions of Lotus Domino by customizing the login form. Lotus Domino 7 also allows you to lock out a user account and to force a password change on the next authentication.

To enforce a stronger Internet password policy, you can develop a custom authentication DSAPI filter, or authentication can occur against an LDAP directory. Most LDAP directories provide the capability to enforce an adequate password policy.

Securing a Lotus Domino Web server

[botschi]

Jetzt hab ich ein schlechtes Gewissen, vielen Dank dafür!
Diese Zusammenfassung und Ansammlung von Quellen können sicherlich noch mehr Leute hier gebrauchen.

Matthias

[m3]

Wieso schlechtes Gewissen? Weil ich Dir Arbeit abgenommen habe? Vergiss es.
Ich hoffe, es hilft Dir weiter.

[botschi]

Wieso schlechtes Gewissen? Weil ich Dir Arbeit abgenommen habe?

Ja, genau deswegen 
Ich hätte mit so einer Fülle nicht gerechnet, als ich den Thread eröffnet habe.

Matthias

[WernerMo]

Hallo Matthias,

mach doch "aus der Not eine Tugend" und plane eine "Kurztripp" nach Wien,
Martin hat bestimmt nichts dagegen, wenn Du Ihn bei der Gelegenheit auf "ein" Bier einlädst.

Gruß Werner
PS: Du dann noch den Termin sagst, evtl. passt es bei mir auch, dann bekommt Martin auch gleich von mir das Bier, das das ich Ihm noch "schulde".

[botschi]

Ich bin ja nicht knauserig und dir würd ich auch gleich eins ausgeben, aber von HH nach Wien ist dann doch nicht ganz so einfach, wie vielleicht HH -> Bremen oder HH -> Kiel

Vielleicht ergibt sich nochmal die Gelegenheit...
Ist jedenfalls germerkt!

Matthias

[m3]

Na ev. schaff ich es ja noch zum ATNotes Treffen in HH. Wenn nicht, bin ich sicher wieder mal in einer der schönsten Städte Deutschlands.

Und ich mach das ja nicht wegen dem Bier. Wenn ich Dir geholfen habe, passt das schon.

[botschi]

Das hast Du zu 100%.

Matthias