Kokemuksia salasanakäytännön ryhtiliikkeestä?
27.08.2013 15:00 #5649
: TeroKankaanpera
---
Tero Kankaanperä
terokankaanpera.fi
TeroKankaanpera loi aiheen: Kokemuksia salasanakäytännön ryhtiliikkeestä?
Tässä kolmatta hajautettua tunkeutumisyritystä (n. 5000 yritystä ja 800 IP:tä jäähyllä) ylläpitämilleni sivuille katsellessani tuumin että on aika tehdä jotain huonoille salasanoille.
Haluaisin pystyä pakottamaan kaikki ylläpitoliittymään kirjautumaan oikeutetut käyttämään aidosti satunnaista, vähintään 16 merkkiä pitkää salasanaa. Käytännössähän heiltä pitäisi ottaa silloin kokonaan pois oikeus vaihtaa salasanaa ja jättää vain mahdollisuus tilata automaattisesti luotu uusi turvallinen salasana sähköpostissa. Tämän lukituspuolen voisi tehdä User - staticPassword -lisäosalla. Siihen turvallisten salasanojen generoimiseen ei näytä olevan lisäosaa.
Haluaisin myös pakottaa kaikki julkista liittymää käyttävät käyttäjät käyttämään vähintään 15 merkkiä pitkää salasanaa ja jonkinlaisen ilmaisimen salasanan laadusta julkisen liittymän salasanan vaihto -ruudulle. RVS PasswordChecker toteuttaisi tämän indikaattorin. FPC olisi kokonaisratkaisuna lähinnä tarvetta, mutta sekään ei pysty toteuttamaan usempaan käyttäjäryhmään kohdistettua erilaista käytäntöä ja muitakin puutteita siinä on.
Kokonaisuuten minusta näyttää, että Joomla on pahasti alamittainen tässä käyttäjien pakottamisessa turvalliseen salasanakäytäntöön - koko kategoria JEDissä on kahdeksan (
lisäosan kokoinen! Lisäksi StyleWare ja Kubik-Rubik ovat kokemuksen perusteella vähän huonossa maineessa. Onks kellään kokemuksia tällaisista tietoturvaamisista tai edellä viitatuista lisäosista?
Haluaisin pystyä pakottamaan kaikki ylläpitoliittymään kirjautumaan oikeutetut käyttämään aidosti satunnaista, vähintään 16 merkkiä pitkää salasanaa. Käytännössähän heiltä pitäisi ottaa silloin kokonaan pois oikeus vaihtaa salasanaa ja jättää vain mahdollisuus tilata automaattisesti luotu uusi turvallinen salasana sähköpostissa. Tämän lukituspuolen voisi tehdä User - staticPassword -lisäosalla. Siihen turvallisten salasanojen generoimiseen ei näytä olevan lisäosaa.
Haluaisin myös pakottaa kaikki julkista liittymää käyttävät käyttäjät käyttämään vähintään 15 merkkiä pitkää salasanaa ja jonkinlaisen ilmaisimen salasanan laadusta julkisen liittymän salasanan vaihto -ruudulle. RVS PasswordChecker toteuttaisi tämän indikaattorin. FPC olisi kokonaisratkaisuna lähinnä tarvetta, mutta sekään ei pysty toteuttamaan usempaan käyttäjäryhmään kohdistettua erilaista käytäntöä ja muitakin puutteita siinä on.
Kokonaisuuten minusta näyttää, että Joomla on pahasti alamittainen tässä käyttäjien pakottamisessa turvalliseen salasanakäytäntöön - koko kategoria JEDissä on kahdeksan (
lisäosan kokoinen! Lisäksi StyleWare ja Kubik-Rubik ovat kokemuksen perusteella vähän huonossa maineessa. Onks kellään kokemuksia tällaisista tietoturvaamisista tai edellä viitatuista lisäosista? ---
Tero Kankaanperä
terokankaanpera.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
Valvojat: jkwebdesign, Gamoss, JiiKoo
Sivu luotiin ajassa: 0.032 sekuntia