More Secure Internet Password Format

[kuabuab]

Hallo

Nun habe ich endlich eine Umgebung wo alle (ja wirklich alle 2500 Benutzer) einen 8.5.x oder 9.0.x Notes Client verwenden.

Bei einer Überprüfung der Webserver-Security, bin ich über folgendes Setting gestolpert: Password verification compatible with Notes/Domino release 8.0.1 or greater

1.   From the Domino Administrator, click People & Groups, and select the Person documents that you want to upgrade to a more secure password format.
2.   Choose Actions -> Upgrade to More Secure Internet Password Format.
3.   If all servers in the Domino domain run release 8.0.1 or greater, select Yes - Password verification compatible with Notes/Domino release 8.0.1 or greater.

Wir haben aktuell ca. 500 Benutzer die Ihr Internet Kennwort in irgend einer Form verwenden.

Hat jemand von euch diese Umstellung im laufenden Betrieb schon mal vorgenommen? 
Werden dann alle Benutzer aufgefordert ihr Internet Kennwort sofort zu ändern?   


Liebe Grüsse
Daniel

[Pfefferminz-T]

Diese Einstellung betrifft das Internet-Kennwort und ist unabhängig vom eingesetzten Notes Client. Die Aktivierung hängt nur von der Server-Version ab! Wenn alle Deine Server 8.0.x oder höher sind, dann kannst Du das im Profildokument des Domino Verzeichnisses auf den besseren Wert setzen.

Für die einzelnen Nutzer hast Du zwei Möglichkeiten...
- zentrale Umstellung für alle Personendokumente über die Aktion im Domino Verzeichnis
- Du wartest, bis jeder Nutzer sein Notes (falls Synchronisation zwischen Notes und Internetkennwort bei euch aktiv ist) bzw. Internetkennwort ändert

Eine 2-Sekunden-Suche in der Domino Admin-Hilfe-Datenbank zeigt Dir diese Anleitung mit diesen beiden Möglichkeiten:

Using more secure password format
When you enter an Internet password and save the Person document, Domino automatically one-way hashes the Internet password field. To improve the default password, use the more secure password format.
You can upgrade the password format for Person documents that already exist or automatically use the more secure password format for all Person documents that you create.
For existing Person documents
  1.   From the Domino Administrator, click People & Groups, and select the Person documents that you want to upgrade to a more secure password format.
  2.   Choose Actions - Upgrade Internet Password Format.
  3.   If all servers in the Domino domain run release 8.0.1 or above, select "Yes - Password verification compatible with release 8.0.1 and above." Otherwise select "Yes - Password verification compatible with release 4.6 and above."
For new Person documents
  1.   From the Domino Administrator, click Configuration, and select All Server Documents.
  2.   Choose Actions - Edit Directory Profile.
  3.   If all servers in the Domino domain run release 8.0.1 or above, select "Yes - Password verification compatible with release 8.0.1 and above." Otherwise select "Yes - Password verification compatible with release 4.6 and above."
  4.   Save and close the document

[Tode]

Sehr gut zusammengefasst... Hier vielleicht nochmal die Quintessenz:

Die Einstellung bestimmt NUR, wie das HTTPPassword- Feld im Domino- Verzeichnis verschlüsselt ist.
Ohne die Option sieht z.B. der Passwort- Hash für das Wort "TEST" so aus:

(D10AC61DEA9C1660036521CD8BF93EE3)

und zwar IMMER, egal auf welchem Server, welche Version, etc. Das heisst: Du kannst ganz einfach über eine Wörterbuchattacke rausfinden, wie das Passwort lautet, indem Du einfach für jede erdenkliche Buchstabenkombination den Hash bildest, und dann stupide die Strings vergleichst.

Mit der stärkeren Verschlüsselung sieht der Hash so aus:

(G64MP4CSMjoxR2HEy54z)
oder
(Gw9NN71RuNUAonDMqu/W)
oder
(GpoTppdOPNAUDloyp4c3)

Bei jedem refresh des Dokuments wird der Hash neu gebildet, und Du kannst nur mit @Functions "Fragen" ob zwei Hashes zum gleichen Passwort gehören... Diese Abfrage ist aber -egal von wo man sie macht: Script, Formel, API- genau wie die Passwort- Eingabe limitiert. Nach jedem "Fehlversuch" verdoppelt sich die Zeit, bis die Funktion True oder False zurückgibt... Ein BruteForce- Angriff ist also quasi ausgeschlossen.

Und das heisst: Die Umstellung hat keinerlei Auswirkungen auf den Betrieb, weil der Server automatisch erkennt, ob @Password oder @HashPassword verwendet wurde, um den Hash zu bilden, und automatisch die Abfrage korrekt macht.

[kuabuab]

Vielen Dank, Pfefferminz
und wow - Thorsten, Danke für die Ausführung!


Die Änderung habe ich bereits vorgenommen.

Gruss Daniel