Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Kennwortrichtlinie

<< < (2/2)

Hartie:
Bernhard,

dass es zu einem Zeitpunkt nur eine einzige Notes-Session auf einem Rechner geben kann, ist mir schon klar.

Die konkrete Frage lautet eher: Muss ein solches Programm auch die exponentiellen Wartezeiten beim Authentifizieren gegen das ID-File in Kauf nehmen, wie der Full-Notes-Client?

Wenn ja, dürfte es ja praktisch keine Brute-Force-Attacken gegen Notes-ID-Files geben, da man die vielen Kennwort-Versuche nicht in vernünftiger Zeit durchführen kann?

Gruß Hartie

ascabg:
@Hartie

--- Zitat ---Für eine zu validierende Notes-Anwendung wird bei uns folgendes gefordert:

"The computerized system and application must track unsuccessful attempts to logon, and lock the account involved after a predefined number of consecutive, incorrect attempts have been made.  [Ref: 21 CFR §11.10(d)]"
--- Ende Zitat ---
Wenn ich es so lese heisst das, dass ein Anwender automatisch nach der entsprcehenden Anzahl von Fehlversuchen beim Zugriff auf diese Applikation gesperrt werden soll.
Warum stellt ihr dann nicht die ACL entsprechend so ein, dass nur die berechtigten Personen zugreifen koennen?
Jegliche Versuche von Anwendern, die lt. ACL nicht zugriffsberechtigt sind, werden im 'normalen' Notes-Log (log.nsf) protokolliert.


Andreas

Thunder:
Danke für die Antworten.
Ich prüfe gerade eine Arbeitsanweisung für unsere grundsätzlichen Passwortregeln. Dort steht halt, dass diese Dinge umgesetzt werden sollten - soweit technisch möglich !
Wollte mich nur vergewissern, dass ich da nichts übersehe.

@Hartie: Das mit den offline Repliken klingt plausibel.
               Bei mir wird gar nichts in den Security Events angezeigt. Fehlt da ein Task bei mir?

Remko

Hartie:
 Andreas:

Natürlich lässt die ACL nur berechtigte User in die Datenbanken rein.

Wenn sich aber ein "Böswilliger" Zugang zu einem PC mit Lotus Notes eines per ACL berechtigen Users verschafft hat und versucht durch Ausprobieren das Notes-Kennwort zu knacken, dann sollen solche Versuche halt protokolliert werden.

Erfolgreicher Zugang zu Notes ist in diesem Fall gleichzusetzen mit erfolgreicher Zugang zur Notes-Anwendung.

Remko: Die Security Events-Meldung kommt m.E. nur, wenn ihr den ID-Vault einsetzt.

Hartie

ascabg:
@Hartie,
Soweit so gut.
Was aber, wenn der 'boeswillige' es nicht aufd er besagten Applikation versucht, sondern mit dem
Adressbuch, was eigentlich naheliegender ist.
Dann kennt er das Kennwort und kann 'problemlos' auf die Applikation zugreifen.

Wenn, dann muesste die betreffende Applikation eine 'eigene' Benutzerverwaltung beinhalten.


Andreas

Navigation

[0] Themen-Index

[*] Vorherige Sete