Kennwortqualität für Webzugriff

[maxritti]

Hallo zusammen,

wir haben den Zugriff via Reverseproxy auf die Postfächer via Browser realisiert. Dabei gibt es eine Policy, welche die Kennwortqualität auf Stufe 8 setzt.

Hat der Benutzer versucht via Web das Kennwort zu ändern, kam so meine ich auch der Hinweis, dass das neue Kennwort nicht komplex genug sei, wenn es halt zu einfach war.
Nun funktioniert genau diese Kennwortqualität allerdings nicht mehr seit ein paar Tagen

Daraufhin habe ich mal ein Ticket bei IBM/HCL erstellt und da kam als Info, dass in der Tat die Qualität des Kennworts für Webzugriff nicht zieht, nur für Lotus Notes und "The customer report was created for the SPR's JRED6QAQY8 and JMPR6Z95QH." 

Nun könnten wir die Option setzen, dass das Noteskennwort sich mit dem Webkennwort abgleicht und die Komplexität in Notes hinterlegen.
Das ist leider problematisch, da es einige Benutzer gibt, die kein Notes sondern nur Web nutzen.

Jetzt würde mich mal interessieren wie ihr grundsätzlich mit Webzugriff auf Postfächer und die Anmeldung der Benutzer gegenüber dem Dominoserver umgeht?

Danke für Eure Hinweise.

[ascabg]

Hallo,

Bei verschiendenen Kunden haben wir die "Sperrung des Internetkennwortes erzwingen" gestezt.

Hier kann ja eingestellt werden, nach wie vielen Fehlversuchen das Kennwort - nur für den Zugriff über Web -
gesperrt werden soll.

Auch werden ja die Fehlversuche in der betreffenden Datenbank mitprotokolliert.


Andreas

[maxritti]

Hi,

die Option mit der Sperrung nach 3 Fehlversuchen haben wir auch gesetzt.
Auch haben wir Fail2Ban auf einem Server vorher aktiv.

Aber ein wenig wundert es mich schon, dass von seitens Domino bzgl der Kennwortqualität für Webzugriff keine Möglichkeit besteht nach Aussen mehr Sicherheit zu implementieren.

Die Option "Stattdessen Länge verwenden" ist wohl auch nicht für den Webzugriff gebaut.

Naja, eventuell implementiert HCL in einem zukünftigen Release ja etwas.

[Pfefferminz-T]

Hm, habe ich selbst noch nie ausprobiert aber gehen sollte das schon:

https://www-01.ibm.com/support/docview.wss?uid=swg21330456

[maxritti]

Das sieht doch mal interessant aus.
Werde ich mir mal anschauen.

Danke Dir für den Link.

[ascabg]

Hallo,

Du hast aber schon gesehen, dass diese Policy nicht zu deinem ursprünglichem Text passt.

Du schreibst

Das ist leider problematisch, da es einige Benutzer gibt, die kein Notes sondern nur Web nutzen.

In der Policy heisst es aber

Change 'Allow users to change Internet Password over HTTP' to "No"

Und weiter

Nun könnten wir die Option setzen, dass das Noteskennwort sich mit dem Webkennwort abgleicht und die Komplexität in Notes hinterlegen.

Policy setz aber genau das voraus.

Change 'Update Internet Password When Notes Client Password Changes' to "Yes"

Andreas

[maxritti]

Hi Andreas,

danke fürs mit drüberschauen. 

Hatte ich in der Tat noch nicht gesehen bzw genauer gelesen.
Dann muss ich wohl mal weiter forschen was es so für Möglichkeiten gibt oder nicht.

Irgendwie stehen mir die "Sicherheitsleute" hier ein wenig auf den Schuhen. 

[Pfefferminz-T]

Ok, habt ihr AD mit diesen Usern? Dann könntet ihr eure Umgebung (iNotes, Traveler, Sametime) auch so umstellen, dass ihr das AD über LDAP als zusätzliches Adressbuch einbindet und das Kennwort von dort nutzt. Voraussetzungen und Umsetzung wurde beim AdminCamp schon beschrieben, ebenso z.Bsp. von Gabriella Davis (turtleblog.info bzw. früher http://blog.turtleweb.com)

[maxritti]

Hallo Thorsten,


nein, ein AD Konto habe die auch nicht.
Wirklich nur eine Emailadresse von uns und externen Zugriff darauf.

Gruß

[ascabg]

Hallo,

Könnte man dann diesen Anwendern nicht eine selbst gebaute Anwendung hinstellen, mit der
sie das Passwort ändern können?

Und hier könntet ihr dann entsprechende Prüfungen in Bezug auf die Komplexität des Passwortes einbauen.


Andreas

[maxritti]

Hi,

vom Prinzip gebe ich Dir schon recht, dass man da was anderes machen kann.
Allerdings lasse ich gerne alles auf dem Standard vom Hersteller.

Zumal für die Benutzer müsste ich dann auch eine Policy setzen, damit die ihr Kennwort nicht über den Browser ändern können.
Andernfalls können die ja über den im Mailfile eingebauten Mechanismus wieder ein triviales Kennwort setzen.

Und auch setzen wir die Option "Benutzer muß das Internetkennwort bei der nächsten Anmeldung ändern", bei neuen Benutzern, damit direkt ein pers. Kennwort gesetzt werden muß.
Das wiederum würde dann mit den Standardmechanismen von IBM abgefrühstück.
Da habe ich auch schon mal dran gedacht, eine eigene Validierung auf die Komplexität einzubauen.

Alles nicht so trivial, wie es zunächst scheint.