Registerkarte "Password Policy Restrictions" (Einschränkungen der Kennwortrichtlinie)

Inhalt
casso126figsbrde
HID_password-policies-restrictions-tab
Auf der Registerkarte "Einschränkungen" konfigurieren Sie Kennworteinschränkungen, um Kennwörter erneut zu verwenden, ähnliche Kennwörter zu erstellen und spezifische Wörter zu verwenden.
Inhalt
Gruppenfeld "Wiederverwendung"
Im Gruppenfeld "Wiederverwendung" geben Sie an, wieviel Zeit vergehen muss und wieviele Kennwörter verwendet werden müssen, bevor ein Benutzer ein altes Kennwort wieder verwenden kann.
Wenn Sie sowohl eine Anzahl an Tagen als auch eine Anzahl an Kennwörtern festlegen, müssen beide Kriterien erfüllt werden, bevor ein Kennwort erneut verwendet werden kann.
Beispiel:
Eine Kennwortrichtlinie legt fest, dass Benutzer 365 Tage warten und 12 Kennwörter angeben, bevor sie ein Kennwort wieder verwenden dürfen. Wenn ein Benutzer nach einem Jahr nur sechs Kennwörter angegeben hätte, dann müsste er weitere sechs Kennwörter angeben, bevor er das erste Kennwort wieder verwenden kann.
  • Mindestanzahl von Tagen vor Wiederverwendung
    Gibt an, wieviele Tage ein Benutzer warten muss, bevor ein Kennwort wiederverwendet wird.
  • Mindestanzahl von Kennwörtern vor Wiederverwendung
    Gibt an, wieviele Kennwörter verwendet werden müssen, bevor ein Kennwort wiederverwendet werden kann.
Gruppenfeld "Änderung ist erforderlich"
Im Gruppenfeld "Änderung ist erforderlich" geben Sie an, inwiefern sich ein neues Kennwort und ein altes Kennwort unterscheiden müssen.
  • Prozentualer Unterschied zum letzten Kennwort
    Gibt den Prozentsatz an Zeichen an, den ein neues Kennwort im Vergleich zum vorherigen Kennwort enthalten muss. Wenn der Wert auf "100" gesetzt wird, darf das neue Kennwort keinerlei Zeichen enthalten, die bereits im vorherigen Kennwort vorkommen, es sei denn, die Option "Bei der Prüfung auf Unterschiede Sequenz ignorieren" ist auf "0" gesetzt. Beispiele dazu, wie dieser Parameter mit der ausgewählten Option "Bei der Prüfung auf Unterschiede Sequenz ignorieren" funktioniert, sind in der nachstehenden Tabelle zu finden.
  • Bei der Prüfung auf Unterschiede Sequenz ignorieren
    Ignoriert die Position der Zeichen im Kennwort, wenn der Prozentsatz bestimmt wird.
    Wenn das vorherige Kennwort eines Benutzers beispielsweise "BASEBALL12" lautet und die Option "Bei der Prüfung auf Unterschiede Sequenz ignorieren" aktiviert ist, kann der Benutzer "12BASEBALL" nicht als neues Kennwort verwenden. Wenn die Option deaktiviert ist, stellt "12BASEBALL" ein akzeptables Kennwort dar, da sich die Buchstaben an unterschiedlicher Position befinden. Beispiele dazu, wie dieser Parameter mit der Option "Prozentualer Unterschied zum letzten Kennwort" funktioniert, sind in der nachstehenden Tabelle zu finden.
    Für vermehrte Sicherheit sollte die Option "Bei der Prüfung auf Unterschiede Sequenz ignorieren" aktiviert sein.
Kennwörter
Prozentuale Abweichung
Sequenz ignorieren
Akzeptiert
BASEBALL12 (Alt)
12BASEBALL
0
1
0
Y
Y
BASEBALL12 (Alt)
12BASEBALL
100
1
0
N
Y
BASEBALL12 (Alt)
12SOFTBALL
0
1
0
Y
Y
BASEBALL12 (Alt)
12SOFTBALL
90
1
0
N
Y
BASEBALL12 (Alt)
12SOFTBALL
100
1
0
N
N
Gruppenfeld "Profilattribut"
Im Gruppenfeld "Profilattribut" können Sie
CA Single Sign-on
konfigurieren, um zu verhindern, dass Benutzer persönliche Daten in ihren Kennwörtern verwenden.
  • Übereinstimmungslänge
    Gibt die minimale Sequenzlänge an, die die Kennwortrichtlinie mit Attributen im Verzeichniseintrag des Benutzers vergleicht.
    Beispiel
    : Wenn dieser Wert auf "4" festgelegt ist, stellt der Richtlinienserver sicher, dass das Kennwort nicht aus den letzten vier Ziffern der Telefonnummer des Benutzers besteht.
Gruppenfeld "Wörterbuch"
Im Gruppenfeld "Wörterbuch" können Sie die Kennwortrichtlinie konfigurieren, um Kennwörter anhand eines benutzerdefinierten Wörterbuchs mit verbotenen Kennwörtern zu überprüfen.
Die Wörterbuchdatei des Richtlinienservers ist eine Liste der Zeichenfolgen, die nicht in Kennwörtern verwendet werden können. Sie können allgemeine Kennwörter wie z. B. "GEHEIM" oder andere Wörter, die in der Branche der Benutzer üblich sind, einfügen. Eine Bank könnte beispielsweise Wörter wie
Konto
,
Rücklagen
,
Gehalt
und
Geld
nicht zulassen. Zeichenfolgen im Wörterbuch dürfen nicht in ein Kennwort eingebettet werden.
Hinweis:
Die Wörterbuchdatei muss in einem Verzeichnis sein, auf das alle Richtlinienserver zugreifen können. Auf die letzte Zeile der von den Kennwortdiensten verwendeten Verzeichnisdatei muss ein Zeilenumbruch folgen, da sie andernfalls nicht in die Wörterbuchsuche mit einbezogen wird.
  • Pfad
    Gibt den vollständigen Pfad und Namen der Wörterbuchdatei an.
  • Übereinstimmungslänge
    Steuert die Länge der Zeichenfolgen, die mit Werten in der Wörterbuchdatei verglichen werden. Die Groß- und Kleinschreibung der Zeichenfolgen wird beim Vergleich ignoriert. Wenn das Feld "Übereinstimmungslänge" leer oder auf Null gesetzt ist, werden nur solche Kennwörter abgelehnt, die genau mit einer Zeichenfolge im Wörterbuch übereinstimmen. Wenn der Wert im Feld "Übereinstimmungslänge" größer als Null ist, werden Kennworteinträge abgelehnt, wenn die folgenden beiden Bedingungen zutreffen:
    • Das Kennwort schließt eine Teilzeichenfolge ein, die mit der gleichen Buchstabenfolge wie ein Wörterbucheintrag anfängt.
    • Die Anzahl aufeinanderfolgender übereinstimmender Zeichen ist höher oder gleich dem im Feld "Übereinstimmungslänge" enthaltenen Wert.
    Stellen Sie sich beispielsweise eine Wörterbuchdatei mit dem folgenden Inhalt vor:
    • Löwe
    • Tiger
    • Bär
    Wenn der Wert im Feld "Übereinstimmungslänge" 4 beträgt, geschieht Folgendes:
    • "Teddybär" wird abgelehnt, da der Wortteil "bär" dem Eintrag "Bär" in der Wörterbuchdatei entspricht.
    • "Prestige" wird abgelehnt, da der Wortteil "tige" den ersten vier Zeichen des Eintrags "Tiger" in der Wörterbuchdatei entspricht.
    • "Geigerzähler" wird akzeptiert, da "iger" nicht den ersten Buchstaben des Eintrags "Tiger" in der Wörterbuchdatei enthält.