Ticket #1366 (closed melhoria: fixed)
Incluir tratamento de expiração de senhas
| Reported by: | zapa | Owned by: | antonio-carlos.silva |
|---|---|---|---|
| Priority: | normal | Milestone: | Expresso 2.2 |
| Component: | Admin | Version: | branch 2.2 |
| Severity: | média | Keywords: | expirar senha dias |
| Cc: | WorkGroup: | Gestão de Integração |
Description
- Incluir tratamento de expiração de senhas e expiração inicial.
- tratar usuários administradores.
- Configurar dias para expiração.
Change History
comment:1 Changed 14 years ago by antonio-carlos.silva
- Status changed from new to closed
- Resolution set to fixed
comment:3 Changed 14 years ago by antonio-carlos.silva
Pode ocorrer. Até com o usuário expresso-admin.
comment:4 Changed 14 years ago by niltonneto
- Keywords expirar senha dias added
- Type changed from defeito to melhoria
- WorkGroup set to Gestão de Integração
- Milestone set to Expresso 2.2
Lembre-se que toda implementação nova NÃO DEVE interferir no funcionamento normal do Expresso. Se não há nada configurado para a nova "feature", não tem porque expirar com "alguns usuários". Por favor, reveja a implementação.
comment:5 Changed 14 years ago by niltonneto
- Status changed from closed to reopened
- Resolution fixed deleted
comment:6 Changed 14 years ago by niltonneto
- Owner changed from ninguem to antonio-carlos.silva
- Status changed from reopened to new
comment:7 Changed 14 years ago by antonio-carlos.silva
A implementação usa o atributo phpgwlastpasswdchange para verificar se a senha deve ser considerada expirada.
Este atributo guarda a data da última alteração de senha pelo usuário. O valor default para considerar a senha expirada é 90 dias.
Assim se o usuário alterou sua senha a mais de 90 dias, vai ser solicitado a alteração da mesma. Por isso "alguns usuários" serão afetados, aqueles que não alteram sua senha a mais de noventa dias.
O número de dias para a senha expirar, pode ser configurado no módulo administração.
comment:8 follow-up: ↓ 10 Changed 14 years ago by zapa
Acho que a implementação está perfeita, se está configurado 90 dias e se o usuário não alterou sua
senha neste período, tem mais é que solicitar a troca.
Caso alguem não queira usar, coloque um valor absurdo na configuração.
O mínimo de segurança em relação a senha é que ele seja alterada periodicamente.
comment:9 Changed 14 years ago by rodsouza
Só uma consideração, alterar a senha não significa segurança. Já mostrei isso inúmeras vezes por aqui quando esse mesmo assunto veio a tona.
Particularmente possue uma senha de 27 caracteres (letras, números e especiais) aposto que ela não é quebrada nem na força bruta, tão pouco com dicionário.
E finalmente, cada usuário possui uma política, não é viável estabelecer um padrão de 90 dias. Além de que um número elevado um não é uma abordagem coerente.
comment:10 in reply to: ↑ 8 ; follow-up: ↓ 11 Changed 14 years ago by niltonneto
Replying to zapa:
Acho que a implementação está perfeita, se está configurado 90 dias e se o usuário não alterou sua
senha neste período, tem mais é que solicitar a troca.
Caso alguem não queira usar, coloque um valor absurdo na configuração.
O mínimo de segurança em relação a senha é que ele seja alterada periodicamente.
Zapa, você está equivocado. Podemos até colocar isso como padrão nas novas instalações. Mas em ambientes já consolidados, se algum administrador atualizar com essa nova versão do Expresso, poderá acarretar em "choro e ranger de dentes" para usuários e administradores. Além disso, está infringindo os padrões de implementação que já acordamos anteriormente. Repito que o valor padrão (nulo) não deve influenciar no funcionamento normal do Expresso.
comment:11 in reply to: ↑ 10 Changed 14 years ago by wmerlotto
Replying to niltonneto:
Replying to zapa:
Acho que a implementação está perfeita, se está configurado 90 dias e se o usuário não alterou sua
senha neste período, tem mais é que solicitar a troca.
Caso alguem não queira usar, coloque um valor absurdo na configuração.
O mínimo de segurança em relação a senha é que ele seja alterada periodicamente.
Zapa, você está equivocado. Podemos até colocar isso como padrão nas novas instalações. Mas em ambientes já consolidados, se algum administrador atualizar com essa nova versão do Expresso, poderá acarretar em "choro e ranger de dentes" para usuários e administradores. Além disso, está infringindo os padrões de implementação que já acordamos anteriormente. Repito que o valor padrão (nulo) não deve influenciar no funcionamento normal do Expresso.
Concordo com o Nilton.
comment:12 follow-up: ↓ 13 Changed 14 years ago by zapa
Caso a empresa não possua politica de senhas não haverá alteração.
Nossa política preconiza que alteremos as senhas, de todos usuários, em todos os sistemas periodicamente, seja com que quantidade de caracteres seja composta, faça sol ou faça chuva, isto é normatizado.
Acredito que falte incluir crítica de não considerar expiração, caso não seja usada com o que não afetará quem não pratica esta política.
comment:13 in reply to: ↑ 12 Changed 14 years ago by niltonneto
Replying to zapa:
Caso a empresa não possua politica de senhas não haverá alteração.
Nossa política preconiza que alteremos as senhas, de todos usuários, em todos os sistemas periodicamente, seja com que quantidade de caracteres seja composta, faça sol ou faça chuva, isto é normatizado.
Acredito que falte incluir crítica de não considerar expiração, caso não seja usada com o que não afetará quem não pratica esta política.
Exato. Deve haver crítica de não considerar expiração.
comment:14 Changed 14 years ago by antonio-carlos.silva
- Status changed from new to closed
- Resolution set to fixed
Implementado desabilitando teste de senha expirada quando configurado com vazio(null).
Aplicado em [3338].
Incluído cpo. para informar dias para expirar senha do usuario no módulo de administração, opção de configuração do servidor.
Aplicado na revisão [3331].