Policy di password: scheda Restrizioni

Sommario
casso127figsbrit
HID_password-policies-restrictions-tab
La scheda Restrizioni consente di configurare le restrizioni per il riuso delle password, la creazione di password simili e l'impiego di parole specifiche.
Sommario
Casella di gruppo Riutilizza
La casella di gruppo Riutilizza consente di specificare il tempo richiesto e il numero di password da utilizzare prima che un utente possa riutilizzare una password precedente.
Se si specificano un intervallo di tempo e un numero di password, entrambi i criteri devono essere soddisfatti prima di poter riutilizzare una password.
Esempio
: Una policy di password richiede un'attesa di 365 giorni e un numero specificato di 12 password prima di riutilizzarne una. Dopo un anno, se un utente ha fornito solo sei password, è necessario che ne fornisca altre sei per poter riutilizzare la prima password.
  • N. minimo di giorni prima del riutilizzo
    Specifica i giorni di attesa prima di poter riutilizzare una password.
  • Numero minimo di password prima del riutilizzo
    Specifica il numero di password da utilizzare prima di poter riutilizzare una password.
Casella di gruppo Modifica obbligatoria
La casella di gruppo Modifica obbligatoria consente di specificare la differenza richiesta tra una nuova password e le precedenti.
  • Differenza in percentuale dall'ultima password
    Specifica la differenza di caratteri (in percentuale) tra la nuova password e la password precedente. Se il valore è impostato su 100, la nuova password non può contenere alcun carattere compreso in quella precedente, salvo se il valore dell'opzione Ignora la sequenza durante l'analisi delle differenze è impostato su 0. Per esempi sul funzionamento di questo parametro quando è selezionata l'opzione Ignora la sequenza durante l'analisi delle differenze, consultare la tabella seguente.
  • Ignora la sequenza durante l'analisi delle differenze
    Ignora la posizione dei caratteri nella password in fase di determinazione della percentuale.
    Ad esempio, se la password iniziale di un utente è BASEBALL12 e la casella di controllo Ignora la sequenza durante l'analisi delle differenze è selezionata, un utente non può scegliere 12BASEBALL come nuova password. Se la casella di controllo è deselezionata, 12BASEBALL è una password accettabile perché le lettere si trovano in una posizione diversa. Per esempi sul funzionamento di questo parametro quando è selezionata l'opzione Differenza in percentuale rispetto alla password precedente, consultare la tabella seguente.
    Per una maggiore protezione, la casella di controllo Ignora la sequenza durante l'analisi delle differenze deve essere selezionata.
Password
Differenza percentuale
Ignora sequenza
Accettata
BASEBALL12 (precedente)
12BASEBALL
0
1
0
BASEBALL12 (precedente)
12BASEBALL
100
1
0
No
BASEBALL12 (precedente)
12SOFTBALL
0
1
0
BASEBALL12 (precedente)
12SOFTBALL
90
1
0
No
BASEBALL12 (precedente)
12SOFTBALL
100
1
0
No
No
Casella di gruppo Attributi di profilo
La casella di gruppo Attributi di profilo consente di configurare
CA Single Sign-on
per impedire agli utenti di utilizzare le informazioni personali nelle password.
  • Lunghezza di corrispondenza
    Specifica la lunghezza di sequenza minima confrontata dalla policy di password con gli attributi nella voce di directory utenti.
    Esempio
    : se il valore è impostato su 4, il Policy Server controlla che la password non sia composta dalle ultime quattro cifre del numero di telefono dell'utente.
Casella di gruppo Dizionario
La casella di gruppo Dizionario consente di configurare la policy di password per controllare una password rispetto a un dizionario di password non consentite, definito dall'utente.
Il file di dizionario del Policy Server contiene un elenco di stringhe non utilizzabili nelle password. È possibile inserire password comuni, ad esempio SEGRETO, o termini di uso comune nel settore degli utenti. Ad esempio, una banca può disattivare le parole
Conto
,
Risparmio
,
Prelievo
e
Denaro
. Non è possibile integrare le stringhe del dizionario in una password.
Nota
il file di dizionario deve trovarsi in una directory accessibile da tutti i Policy Server. L'ultima riga del file di dizionario utilizzato dai servizi della password deve essere seguita da un ritorno a capo o non verrà inclusa nella ricerca all'interno del dizionario.
  • Percorso
    Specifica il percorso completo e il nome del file di dizionario.
  • Lunghezza di corrispondenza
    Confronta la lunghezza delle stringhe con i valori del file di dizionario. Nel confronto viene ignorata la distinzione tra maiuscole e minuscole delle stringhe. Se il campo Lunghezza di corrispondenza è vuoto o impostato su zero, verranno rifiutate solo le password corrispondenti esattamente a una stringa nel dizionario. Se la lunghezza di corrispondenza è maggiore di zero, verranno rifiutate le voci di password se si verificano entrambe le condizioni seguenti:
    • La password include una stringa secondaria che inizia con la stessa serie di caratteri di una voce del dizionario.
    • Il numero di caratteri corrispondenti consecutivi è maggiore o uguale al numero specificato nel campo Lunghezza di corrispondenza.
    Ad esempio, considerare un file di dizionario contenente le voci seguenti:
    • lion
    • tiger
    • bear
    Se il campo Lunghezza di corrispondenza è impostato su 4, risulteranno i seguenti scenari:
    • La password TeddyBear sarà rifiutata perché "Bear" corrisponde alla voce "bear" nel file di dizionario.
    • La password prestige sarà rifiutata perché "tige" corrisponde ai primi quattro caratteri della voce "tiger" nel file di dizionario.
    • La password Geiger Counter sarà accettata perché "iger" non include la prima lettera della voce "tiger" nel file di dizionario.