Domino password complexity via browser
La gestione della complessità delle password in Notes e Domino , specialmente via browser, può causare qualche mal di testa.
Dalle prime versioni di Domino è possibile gestire la complessità della password ma in un modo proprietario e secondo un algoritmo che non è mai stato reso pubblico.
Di conseguenza sappiamo che esiste una scala di complessità delle password che va da zero a 16 (dove zero è il minimo ed equivale a nessuna password) ma non è mai stato specificato chiaramente a cosa corrisponde ogni livello.
Vero che nelle ultime versioni HCL ha introdotto la possibilità di gestire una Custom Policy per la complessità delle password con criteri molto più precisi (numero di caratteri maiuscoli, minuscoli, numeri, caratteri speciali e così via) ma questa possibilità è per ora attiva e controllata solo via Notes Client , dove viene applicata all’atto del cambio password.
Quindi per il controllo della complessità delle password Notes lato browser restano disponibili sono i livelli di complessità.
Mi sono scontrato più volte con questo aspetto e la difficoltà è sempre stata quella di spiegare agli utenti quali fossero le regole di cambio password in Notes via browser a fronte dei vari livelli di complessità prescelti. Alla fine , mettendo insieme la documentazione trovata in rete ed i test che ho fatto , sono riuscito a venirne abbastanza a capo .
Pubblico il tutto qui, magari può essere utile a qualcuno.
Considerazioni generali come estratte dalla documentazione disponibile in rete
Quando si creano password per ID utente, server o certificatore, è necessario comprendere i criteri in base ai quali Domino misura la sicurezza delle password.
Domino verifica la complessità della password in base al livello assegnato sulla sua scala di qualità della password, verificando la qualità della password sul numero e sulla varietà di caratteri immessi.
La scala va da 0 (più debole — nessuna password richiesta) a 16 (più forte). Una qualità di 1 indica che qualsiasi password soddisfa i criteri.
La sicurezza della password non è la stessa della lunghezza della password. Non tutte le password di uguale lunghezza hanno la stessa forza nella scala della qualità delle password.
Ad esempio, la parola di 8 caratteri “password” (perché è una parola) e la parola di 8 caratteri “2231Sole” (perché contiene numeri e caratteri alfabetici) non hanno lo stesso livello di complessità dei caratteri e non hanno uguale forza sulla scala della qualità.
Sviluppo di regole per gli utenti
Gli utenti hanno bisogno una guida chiara su ciò che costituirà una password accettabile, ma l’algoritmo non è stato progettato per aderire a un insieme preciso di regolee quindi diventa impossibile scrivere delle regole precise.
Tuttavia comprendendo la formula dell’algoritmo come descritto sopra, si dovrebbe essere in grado di definire regole che si adattino all’algoritmo di qualità della password.
Ad esempio, ecco alcune regole di password di esempio su ciò che è considerato accettabile per diverse classificazioni di qualità delle password. Si noti che queste regole possono effettivamente superare la qualità minima richiesta, per essere prudenti.
Si ricorda che oltre a quanto segue, vanno sempre evitate singole parole del dizionario e che i caratteri speciali che si trovano nella prima e nell’ultima posizione potrebbero non essere sufficienti per superare il test dell’algoritmo.
Regole per una valutazione di qualità di 6:
- password che contenga almeno sei caratteri e includa almeno uno dei seguenti: numero, maiuscole e minuscole, punteggiatura.
- password che contenga almeno sei caratteri e che non includa una sola parola del dizionario.
Regole per una valutazione di qualità di 8:
- password che contenga almeno sei caratteri e che includa almeno due dei seguenti: numero, maiuscole e minuscole, punteggiatura.
- password che contenga almeno sette caratteri e che includa un numero e una lettera maiuscola.
- password che contenga almeno otto caratteri e che includa almeno uno dei seguenti: numero, maiuscole e minuscole, punteggiatura.
- Scegli una password che contenga almeno otto caratteri e che non includa parole del dizionario.
Regole per una valutazione di qualità di 10:
- password che contenga almeno otto caratteri e che includa almeno due dei seguenti: numero, maiuscole e minuscole, punteggiatura.
- password che contenga almeno dieci caratteri e che includa almeno uno dei seguenti: numero, maiuscole e minuscole, punteggiatura.
- password che contenga almeno 12 caratteri e che non includa parole nel dizionario.
I test che ho effettuato
Non voglio dilungarmi sulle varie metodologie e sui casi verificati ma sono arrivato a concludere che un buon risultato si ottiene con la selezione del livello 14 che permette di avere una password sufficientemente complessa e nel contempo di poter comunicare agli utenti delle regole chiare .
E’ quindi possibile stabilire che con l’implementazione del livello 14 le password devono sottostare a queste regole:
- lunghezza minima 10 caratteri
- deve contenere almeno un carattere speciale come _
- deve contenere almeno un numero
Nella tabella di seguito riportio titolo di esempio alcune verifiche effettuate al livello 14
Password inserita | Accettata dal sistema |
cvb23_tgb | no |
Cvb23_tgb | no |
Cvb56_tgbq | si |
cvb56_tgbq | si |
Cvb56xtgbq | no |
Cvbey_tgbq | no |
aldomariarossi | si |
aldomariaross | no |
E’ da notare che nel penultimo caso la password è stata accettata in quanto la lunghezza è di 14 caratteri e quindi raggiunge la complessità prevista dal livello 14 .
Questo significa che potenzialmente un utente potrebbe mettere come password il proprio nome e cognome e , nel caso questo sia abbastanza lungo, la password verrebbe accettata. Ovviamente questo resta un punto debole perchè è esattamente uno dei tipi di passowrd che è sempre sconsigliato usare.
Discorso analogo per le parole compiute di dizionario (come ad esempio “salmonicoltore” ) che raggiungendo la complessità richiesta (a causa della lunghezza di 14 caratteri) saranno accettate.