Polityka haseł w Thulium

Wprowadzenie#

W systemie Thulium Administrator może skonfigurować zasady dotyczące bezpieczeństwa haseł użytkowników. Obejmują one m.in. wymuszanie okresowej zmiany hasła, sprawdzanie jego siły oraz możliwość włączenia uwierzytelniania dwuetapowego.

Wymuszanie okresowej zmiany hasła#

Administrator systemu może ustawić parametr Ilość dni po których wymuszana jest zmiana hasła w systemie, dostępny w parametrach systemowych.

Parametr określa, jak często użytkownicy muszą zmienić swoje hasło:

wartość 0 – zmiana hasła nie jest wymuszana,
wartość > 0 – po określonej liczbie dni system poprosi użytkownika o ustawienie nowego hasła.

Sprawdzanie siły hasła#

Podczas ustawiania hasła system sprawdza jego bezpieczeństwo przy użyciu biblioteki zxcvbn.

Biblioteka analizuje m.in.:

długość hasła,
przewidywalność wzorców,
użycie popularnych słów lub schematów.

W systemie Thulium wymagany jest poziom bezpieczeństwa score = 3, co oznacza, że hasło jest trudne do odgadnięcia (do 10 miliardów prób) i zapewnia ochronę nawet w przypadku łamania haseł offline.

Sprawdzanie podobieństwa hasła do danych użytkownika#

Aby zapobiec używaniu łatwych do odgadnięcia haseł, system sprawdza również ich podobieństwo do danych użytkownika, takich jak:

imię,
nazwisko,
login,
adres e-mail,
nazwa systemu.

Jeżeli podobieństwo hasła do tych danych przekracza 70%, system nie pozwoli na jego użycie.

Bezpieczne hasła są jednym z podstawowych elementów ochrony dostępu do systemów takich jak Thulium. Zbyt proste lub łatwe do odgadnięcia hasła mogą zostać szybko złamane przez automatyczne narzędzia wykorzystywane w atakach typu brute force lub przy użyciu baz wyciekłych haseł.
Stosowanie silnych haseł, ich regularna zmiana oraz dodatkowe zabezpieczenia – takie jak uwierzytelnianie dwuetapowe – znacząco zmniejszają ryzyko nieautoryzowanego dostępu do kont użytkowników oraz danych znajdujących się w systemie.