Όπως είδαμε σε προηγούμενο άρθρο, μπορούμε να επιβάλουμε πολιτική κλειδώματος λογαριασμού, για να προστατέψουμε το σύστημά μας από επιθέσεις τύπου brute force. Προφανώς όμως αυτό δεν θα βοηθήσει και πολύ, αν οι χρήστες μας συνηθίζουν να βάζουν κωδικούς τύπου 12345 ή την ημερομηνία γενεθλίων τους και γενικά κάποιον κωδικό που είναι εύκολο να μαντέψει κάποιος που τους ξέρει.
Μπορούμε όμως να αναγκάσουμε τους χρήστες μας να χρησιμοποιήσουν κωδικούς που είναι δύσκολο να μαντέψει κανείς, επιβάλλοντας κανόνες πολυπλοκότητας, χρησιμοποιώντας την πολιτική κωδικού πρόσβασης αυξάνοντας έτσι την ασφάλεια του συστήματος.
Τι είναι η πολιτική κωδικού πρόσβασης
Η πολιτική κωδικού πρόσβασης είναι ένα σύνολο κανόνων που μπορούμε να επιβάλλουμε στους χρήστες μας, προκειμένου να τους αναγκάσουμε να χρησιμοποιούν ασφαλείς κωδικούς. Για να αποκτήσουμε πρόσβαση σε αυτήν πάμε Έναρξη -> Πίνακας Ελέγχου ->Εργαλεία Διαχείρισης ->Τοπική Πολιτική ασφαλείας .
Εκεί θα βρούμε τον φάκελο πολιτικές λογαριασμού, ανοίγοντας το θα δούμε τον γνωστό από προηγούμενο άρθρο φάκελο πολιτική κλειδώματος λογαριασμού και τον φάκελο πολιτική κωδικού πρόσβασης.
,
Εκεί θα βρούμε τα αντικείμενα:
- Αποθήκευση κωδικών πρόσβαση με χρήση μετακλητής κρυπτογράφησης
- Ελάχιστη διάρκεια του κωδικού πρόσβασης
- Ελάχιστο μήκος κωδικού πρόσβασης
- Επιβολή ιστορικού κωδικών πρόσβασης
- Μέγιστη διάρκεια κωδικού πρόσβασης
- Οι κωδικοί πρόσβασης πρέπει να πληρούν της προϋπόθεσης πολυπλοκότητας
Εξήγηση των πολιτικών
[su_accordion]
[su_spoiler title=”Αποθήκευση κωδικών πρόσβαση με χρήση μετακλητής κρυπτογράφησης ” style=”fancy”]
Ουσιαστικά με αυτή την επιλογή είναι σαν να αποθηκεύουμε τους κωδικούς σε ένα απλό αρχείο κειμένου χωρίς κρυπτογράφηση.
Φυσικά κάτι τέτοιο είναι μεγάλο μειονέκτημα ασφαλείας και για αυτό προτείνετε να έχετε απενεργοποιημένη αυτή την ρύθμιση.
Ο λόγος που υπάρχει αυτή η ρύθμιση είναι επειδή, μπορεί να είναι απαραίτητη σε κάποιες εφαρμογές.
Συμβουλή μας αν έχετε κάποια τέτοια εφαρμογή, είναι να ελέγξετε αν υπάρχει αναβαθμισμένη έκδοση της εφαρμογής που δεν έχει αυτή την γελοία απαίτηση. Αλλιώς αν είναι εφικτό ψάξτε αν υπάρχει παρόμοια εφαρμογή με την οποία θα μπορούσατε να κάνετε την δουλειά σας. Αν δεν υπάρχει και σας είναι απολύτως απαραίτητη η χρήση της συγκεκριμένης εφαρμογής, τότε και μόνο τότε ενεργοποιήστε αυτή την ρύθμιση.
Να έχετε όμως υπόψιν ότι ανοίγετε μια τεράστια τρύπα ασφαλείας στο σύστημά σας.
Οι διαθέσιμες επιλογές για αυτή την ρύθμιση είναι ενεργή ή ανενεργή
[/su_spoiler]
[su_spoiler title=”Ελάχιστη διάρκεια του κωδικού πρόσβασης” style=”fancy”]
Καθορίζει πόσο θα είναι το ελάχιστο χρονικό διάστημα σε μέρες πριν ο χρήστης να μπορέσει να αλλάξει τον κωδικό του πρόσβασης αν επιθυμεί.
Παίρνει τιμές από 0 έως 998.
Για προφανής λόγους θα πρέπει να είναι μικρότερη με την μέγιστη διάρκεια του κωδικού πρόσβασης.
Αν θέλετε να επιβάλετε ιστορικό κωδικών πρόσβασης θα πρέπει να ορίσετε τιμή τουλάχιστον με 1.
Τιμή ίση με 0 σημαίνει ότι ο χρήστης μπορεί να αλλάξει κωδικό πρόσβασης αμέσως
[/su_spoiler]
[su_spoiler title=”Ελάχιστο μήκος κωδικού πρόσβασης” style=”fancy”]
Καθορίζει τον ελάχιστο αριθμό χαρακτήρων που θα μπορεί να εισάγει ο χρήστης ως κωδικό πρόσβασης.
Μπορεί να πάρει τιμή μεταξύ 0 και 14 χαρακτήρες.
Το 0 σημαίνει ότι δεν απαιτείται να υπάρχει κωδικός πρόσβασης
Οι σύγχρονες πρακτικές ασφαλείας προτείνουν 8 χαρακτήρες και σε καμιά περίπτωση κάτω από 5
[/su_spoiler]
[su_spoiler title=”Επιβολή ιστορικού κωδικών πρόσβασης” style=”fancy”]
Μια από τις βέλτιστες πρακτικές ασφαλείας αναφέρουν ότι οι χρήστες θα πρέπει να αλλάζουν συχνά κωδικούς έτσι ώστε κάποιος επιτιθέμενος να μην έχει επαρκεί χρονικό διάστημα να το μαντέψει.
Πάρα πολλοί χρήστες τείνουν να χρησιμοποιούν τους ίδιους συνέχεια κωδικούς, πράγμα που στην ουσία ακυρώνει το σκοπό της επιβολής αλλαγής κωδικού στους χρήστες ανά τακτά χρονικά διαστήματα.
Η ρύθμιση επιβολής ιστορικού κωδικού πρόσβασης σημαίνει το πόσους κωδικούς πρόσβασης που έχει ήδη χρησιμοποιήσει ο χρήστης “θα θυμάται” το σύστημα.
Έτσι αν πχ. ορίσουμε σαν τιμή το 3 τα windows δεν θα επιτρέψουν τον χρήστη να ορίσει ως νέο κωδικό πρόσβασης κάποιον από τους 3 τελευταίους που έχει ήδη χρησιμοποιήσει. Θα μπορεί όμως να χρησιμοποιήσει κάποιον παλιότερο ήδη χρησιμοποιημένο κωδικό.
Μπορεί να πάρει τιμές από 0 έως 24.
Φυσικά ορίζοντας ως τιμή το 0 απενεργοποιούμε την σχετική ρύθμιση, ενώ όπως ήδη έχουμε αναφέρει για να μπορεί να επιβληθεί αυτή η πολιτική, θα πρέπει η ελάχιστη διάρκεια του κωδικού πρόσβασης να είναι τουλάχιστον 1 μέρα
[/su_spoiler]
[su_spoiler title=”Μέγιστη διάρκεια κωδικού πρόσβασης” style=”fancy”]
Αυτή η ρύθμιση καθορίζει ποιο είναι το μέγιστο χρονικό διάστημα σε μέρες, που θα μπορεί να χρησιμοποιεί ο χρήστης τον ίδιο κωδικό. Όταν ο χρήστης φτάσει στο όριο τότε κατά την διαδικασία σύνδεσης τα windows θα τον αναγκάσουν να ορίσει έναν καινούργιο κωδικό πριν μπορέσει να συνεχίσει.
Αυτονόητο είναι ότι κάθε φορά που ο χρήστης αλλάζει κωδικό ο μετρητής γυρίζει στο 0, ακόμη και η αλλαγή του κωδικού έγινε κατά επιλογή του χρήστη και όχι λόγω επιβολής του κανόνα.
Μπορεί να πάρει τιμή μεταξύ 0 και 999 ημέρες
Φυσικά ορίζοντας ως τιμή το 0 οι κωδικοί πρόσβασης δεν λήγουν ποτέ. Αν βάλετε μια τιμή διαφορετική από το 0 τότε η μέγιστη διάρκεια του κωδικού πρόσβασης θα πρέπει να έχει μεγαλύτερη τιμή από την ελάχιστη διάρκεια του κωδικού πρόσβασης.
[/su_spoiler]
[su_spoiler title=”Οι κωδικοί πρόσβασης πρέπει να πληρούν της προϋπόθεσης πολυπλοκότητας” style=”fancy”]
Όπως αναφέραμε στην αρχή του άρθρου δεν έχει νόημα οποιαδήποτε ρύθμιση ασφαλείας αν οι χρήστες μας χρησιμοποιούν κωδικούς που θα μπορούσε να μαντέψει και ένα παιδάκι.
Με αυτή την ρύθμιση μπορούμε να επιβάλουμε προϋποθέσεις πολυπλοκότητας που θα πρέπει να τηρούν οι κωδικοί των χρηστών πριν αυτοί γίνουν αποδεκτοί από το σύστημα.
Η ρύθμιση μπορεί να πάρει τιμές ενεργή ή ανενεργή
Σε περίπτωση που ενεργοποιήσουμε την ρύθμιση τότε πριν ένας νέος κωδικός γίνει αποδεκτός να πληρεί της εξής προϋποθέσεις:
- Δεν θα πρέπει να περιέχει το όνομα λογαριασμού του χρήστη ή μέρος του ολόκληρου ονόματος του χρήστη (2 διαδοχικούς χαρακτήρες)
- Θα πρέπει να έχει μήκος τουλάχιστον 6 χαρακτήρες
- Θα πρέπει να περιέχει χαρακτήρες από τουλάχιστον 3 από τις επόμενες 4 κατηγορίες:
- Κεφαλαίους αγγλικούς χαρακτήρες
- Μικρούς αγγλικούς χαρακτήρες
- αριθμούς
- ειδικούς χαρακτήρες π.χ @&%^ κτλ
Θα πρέπει να σημειωθεί ότι ενεργοποιώντας αυτή την ρύθμιση θα ισχύει για τους νέους κωδικούς που θα δημιουργήσουν οι χρήστες και όχι για τους ίδιους υπάρχοντες.
Αν θέλετε να επιβληθούν σε όλους τους χρήστες, τότε θα πρέπει να τους αναγκάσετε να αλλάξουν τους κωδικούς τους στην επόμενη σύνδεση τους.
[/su_spoiler]
[/su_accordion]
Επίλογος
Η πολιτική κωδικού πρόσβασης, θα πρέπει να επιβάλλεται ταυτόχρονα με την πολιτική κλειδώματος λογαριασμού προκειμένου να έχει νόημα.
Επιβάλλοντας αυτές τις 2 πολιτικές ταυτόχρονα ανεβάζουμε κατακόρυφα την ασφάλεια, όσον αφορά την μη εξουσιοδοτημένη πρόσβαση στο σύστημά μας.
Δεν θα πρέπει ποτέ να ξεχνάτε ότι εκτός από τις ρυθμίσεις ασφαλείας στο λειτουργικό μας, εξίσου σημαντική είναι και να το εξασφαλίσουμε ότι ένας επιτιθέμενος δεν θα μπορεί να έχει εύκολα φυσική πρόσβαση στο σύστημά μας, ειδικά αν πρόκειται για επαγγελματικό περιβάλλον.