Política de senhas
Enviado por Robson Cardoso em 10/4/2012 13:30:43
Pessoal,
No menu Administrador, Configuração do Servidor, existe a seguinte configuração "Quantas letras a senha do usuário precisa ter (padrão 3) ?:", mas o correto seria "Quantos caracteres a senha do usuário precisa ter".
Em nossa Política de Segurança da Informação, no quesito Política de Senhas, temos definido que a senha deve ter no mínimo 6 caracteres, sendo no mínimo 2 letras e 1 caractere especial e não conseguimos implementá-la no Expresso, pois sentimos falta de uma opção "Quantidade mínima de letras", para que seja possível criar esta regra.
NOTA: Mesmo que o fato descrito no 2º parágrafo seja uma necessidade específica, a Política de Senha adotada atualmente no Expresso dificulta a implementação da Garantia de Confidencialidade, pois permite um usuário criar uma senha do tipo 123 (ou no nosso caso 123456), pois a outra configuração "Quantas letras especiais a senha do usuários precisa ter (padrão 0) ?:" não se aplica quando a senha é informada somente numericamente, somente quando é informada uma senha com letras.
As sugestões descritas seriam muito importantes para termos uma solução que garanta um mínimo de segurança aos usuários do Expresso, evitando a descoberta de senha através de ataques de força bruta.
Há outras configurações na política de senhas que poderia agregar muito ao Expresso, como "Diferenciação entre caracteres maiúsculo e minúsculos", "Quantidade de senhas antigas que não poderão ser reutilizadas", "Número de caracteres que não poderão ser sequenciais ou repetidos" (coibir 123,456,999...), "Número de dias que será avisado antes de expirar a senha", e "Faixa de horário que será permitida a autenticação".
No menu Administrador, Configuração do Servidor, existe a seguinte configuração "Quantas letras a senha do usuário precisa ter (padrão 3) ?:", mas o correto seria "Quantos caracteres a senha do usuário precisa ter".
Em nossa Política de Segurança da Informação, no quesito Política de Senhas, temos definido que a senha deve ter no mínimo 6 caracteres, sendo no mínimo 2 letras e 1 caractere especial e não conseguimos implementá-la no Expresso, pois sentimos falta de uma opção "Quantidade mínima de letras", para que seja possível criar esta regra.
NOTA: Mesmo que o fato descrito no 2º parágrafo seja uma necessidade específica, a Política de Senha adotada atualmente no Expresso dificulta a implementação da Garantia de Confidencialidade, pois permite um usuário criar uma senha do tipo 123 (ou no nosso caso 123456), pois a outra configuração "Quantas letras especiais a senha do usuários precisa ter (padrão 0) ?:" não se aplica quando a senha é informada somente numericamente, somente quando é informada uma senha com letras.
As sugestões descritas seriam muito importantes para termos uma solução que garanta um mínimo de segurança aos usuários do Expresso, evitando a descoberta de senha através de ataques de força bruta.
Há outras configurações na política de senhas que poderia agregar muito ao Expresso, como "Diferenciação entre caracteres maiúsculo e minúsculos", "Quantidade de senhas antigas que não poderão ser reutilizadas", "Número de caracteres que não poderão ser sequenciais ou repetidos" (coibir 123,456,999...), "Número de dias que será avisado antes de expirar a senha", e "Faixa de horário que será permitida a autenticação".
Fonte: http://www.expressolivre.org/newbb/viewtopic.php?forum=14&topic_id=2298&post_id=14651