Ticket #1366 (closed melhoria: fixed)

Opened 10 years ago

Last modified 10 years ago

Incluir tratamento de expiração de senhas

Reported by: zapa Owned by: antonio-carlos.silva
Priority: normal Milestone: Expresso 2.2
Component: Admin Version: branch 2.2
Severity: média Keywords: expirar senha dias
Cc: WorkGroup: Gestão de Integração

Description

  • Incluir tratamento de expiração de senhas e expiração inicial.
  • tratar usuários administradores.
  • Configurar dias para expiração.

Change History

comment:1 Changed 10 years ago by antonio-carlos.silva

  • Status changed from new to closed
  • Resolution set to fixed

Incluído cpo. para informar dias para expirar senha do usuario no módulo de administração, opção de configuração do servidor.

Aplicado na revisão [3331].

comment:2 Changed 10 years ago by amuller

Quando atualizei, expirou minha conta. Isso é normal?

comment:3 Changed 10 years ago by antonio-carlos.silva

Pode ocorrer. Até com o usuário expresso-admin.

comment:4 Changed 10 years ago by niltonneto

  • Keywords expirar senha dias added
  • Type changed from defeito to melhoria
  • WorkGroup set to Gestão de Integração
  • Milestone set to Expresso 2.2

Lembre-se que toda implementação nova NÃO DEVE interferir no funcionamento normal do Expresso. Se não há nada configurado para a nova "feature", não tem porque expirar com "alguns usuários". Por favor, reveja a implementação.

comment:5 Changed 10 years ago by niltonneto

  • Status changed from closed to reopened
  • Resolution fixed deleted

comment:6 Changed 10 years ago by niltonneto

  • Owner changed from ninguem to antonio-carlos.silva
  • Status changed from reopened to new

comment:7 Changed 10 years ago by antonio-carlos.silva

A implementação usa o atributo phpgwlastpasswdchange para verificar se a senha deve ser considerada expirada.

Este atributo guarda a data da última alteração de senha pelo usuário. O valor default para considerar a senha expirada é 90 dias.

Assim se o usuário alterou sua senha a mais de 90 dias, vai ser solicitado a alteração da mesma. Por isso "alguns usuários" serão afetados, aqueles que não alteram sua senha a mais de noventa dias.

O número de dias para a senha expirar, pode ser configurado no módulo administração.

comment:8 follow-up: ↓ 10 Changed 10 years ago by zapa

Acho que a implementação está perfeita, se está configurado 90 dias e se o usuário não alterou sua

senha neste período, tem mais é que solicitar a troca.

Caso alguem não queira usar, coloque um valor absurdo na configuração.

O mínimo de segurança em relação a senha é que ele seja alterada periodicamente.

comment:9 Changed 10 years ago by rodsouza

Só uma consideração, alterar a senha não significa segurança. Já mostrei isso inúmeras vezes por aqui quando esse mesmo assunto veio a tona.

Particularmente possue uma senha de 27 caracteres (letras, números e especiais) aposto que ela não é quebrada nem na força bruta, tão pouco com dicionário.

E finalmente, cada usuário possui uma política, não é viável estabelecer um padrão de 90 dias. Além de que um número elevado um não é uma abordagem coerente.

comment:10 in reply to: ↑ 8 ; follow-up: ↓ 11 Changed 10 years ago by niltonneto

Replying to zapa:

Acho que a implementação está perfeita, se está configurado 90 dias e se o usuário não alterou sua

senha neste período, tem mais é que solicitar a troca.

Caso alguem não queira usar, coloque um valor absurdo na configuração.

O mínimo de segurança em relação a senha é que ele seja alterada periodicamente.

Zapa, você está equivocado. Podemos até colocar isso como padrão nas novas instalações. Mas em ambientes já consolidados, se algum administrador atualizar com essa nova versão do Expresso, poderá acarretar em "choro e ranger de dentes" para usuários e administradores. Além disso, está infringindo os padrões de implementação que já acordamos anteriormente. Repito que o valor padrão (nulo) não deve influenciar no funcionamento normal do Expresso.

comment:11 in reply to: ↑ 10 Changed 10 years ago by wmerlotto

Replying to niltonneto:

Replying to zapa:

Acho que a implementação está perfeita, se está configurado 90 dias e se o usuário não alterou sua

senha neste período, tem mais é que solicitar a troca.

Caso alguem não queira usar, coloque um valor absurdo na configuração.

O mínimo de segurança em relação a senha é que ele seja alterada periodicamente.

Zapa, você está equivocado. Podemos até colocar isso como padrão nas novas instalações. Mas em ambientes já consolidados, se algum administrador atualizar com essa nova versão do Expresso, poderá acarretar em "choro e ranger de dentes" para usuários e administradores. Além disso, está infringindo os padrões de implementação que já acordamos anteriormente. Repito que o valor padrão (nulo) não deve influenciar no funcionamento normal do Expresso.

Concordo com o Nilton.

comment:12 follow-up: ↓ 13 Changed 10 years ago by zapa

Caso a empresa não possua politica de senhas não haverá alteração.

Nossa política preconiza que alteremos as senhas, de todos usuários, em todos os sistemas periodicamente, seja com que quantidade de caracteres seja composta, faça sol ou faça chuva, isto é normatizado.

Acredito que falte incluir crítica de não considerar expiração, caso não seja usada com o que não afetará quem não pratica esta política.

comment:13 in reply to: ↑ 12 Changed 10 years ago by niltonneto

Replying to zapa:

Caso a empresa não possua politica de senhas não haverá alteração.

Nossa política preconiza que alteremos as senhas, de todos usuários, em todos os sistemas periodicamente, seja com que quantidade de caracteres seja composta, faça sol ou faça chuva, isto é normatizado.

Acredito que falte incluir crítica de não considerar expiração, caso não seja usada com o que não afetará quem não pratica esta política.

Exato. Deve haver crítica de não considerar expiração.

comment:14 Changed 10 years ago by antonio-carlos.silva

  • Status changed from new to closed
  • Resolution set to fixed

Implementado desabilitando teste de senha expirada quando configurado com vazio(null).

Aplicado em [3338].

Note: See TracTickets for help on using tickets.