安全性
密碼保護功能
密碼品質
註冊使用者或伺服器,或建立發證者 ID 時,可使用 0 到 16 的等級,來指定欲對 ID 強制的密碼品質層次。層次愈高,則密碼愈複雜,因此,未獲授權的使用者猜出密碼的機率也愈低。欲達到最理想的安全性,請指定至少 8 的密碼品質層次。
當您輸入新 ID 的密碼,或是當使用者變更現有 ID 的密碼時,會強制使用您所指定的密碼品質層次。當使用者變更其密碼時,Lotus Notes 會顯示 ID 檔所需之密碼品質層次的相關資訊。使用者必須輸入符合層級基準的密碼;否則便不能變更密碼。
選擇密碼時,最好指定包含大小寫字母、數字及標點混合的隨機英數字串。同樣,最好指定完整的詞組而非單一字詞。密碼詞組容易記憶、猜中的機率低,且通常比單詞密碼長。如果選擇使用詞組,則應該拼錯一或多個字詞,讓攻擊者難以猜中該詞組。
若要變更指派給 ID 的密碼品質層次,必須重新認證 ID 或使用安全性設定值政策文件。
時間延遲及防假冒機制
Lotus Notes ID 的所有密碼皆有內建的時間延遲及防假冒機制,兩者皆可防制密碼猜測程式,並可防止類似密碼提示對話框的程式竊取密碼。時間延遲機制會在鍵入不正確的密碼後,延遲處理的時間。使用者鍵入密碼時,防假冒機制會建立其他程式無法複製的圖形樣式。
認證時的密碼及公開金鑰驗證
依預設,IBM Lotus Notes 及 IBM Lotus Domino 僅使用密碼保護儲存在 ID 檔中的資訊。然而,您可以配置伺服器,以在鑑別期間驗證密碼及 Lotus Notes 公開金鑰。密碼及公開金鑰驗證會減少未獲授權的 ID 使用。如果設定伺服器驗證密碼,而未獲授權的使用者取得 ID 及密碼,則獲授權的使用者只需變更該 ID 的密碼。這樣下一次未獲授權的使用者企圖進行認證時,系統不會允許該使用者存取伺服器,因為 Domino 會告知使用者必須變更此 ID 備份的密碼,以符合另一個 ID 備份的密碼,而未獲授權的使用者無法得知正確的密碼。
除了驗證密碼外,還可設定伺服器,要求使用者定期變更密碼。
ID 檔案加密
Lotus Notes 金鑰會加密儲存在 Lotus Notes ID 檔中,而以 ID 檔案密碼衍生的金鑰來加密。在 Domino 7 之前,此金鑰是 64 位元。使用者現在可以選擇使用 128 位元 RC2 或 AES 金鑰或 256 位元 AES 金鑰,來加密 ID 檔。因為 ID 檔案現在可以儲存較大的文件加密金鑰,用以儲存 ID 檔案的加密安全性至少將會跟已儲存的金鑰一樣高。
多重密碼
若要為發證者及伺服器 ID 提供更嚴密的安全性,可為那些 ID 指派多重密碼。若使用多重密碼,則管理員群組必須合力存取 ID。例如,不想將發證者 ID 的權限授與某位人員時,此功能有相當的助益。可指定存取 ID 時,只需提供指定的密碼子集。例如,可為 ID 指定四個密碼,但要求只需輸入其中任兩個密碼即可存取該 ID。即使所有的管理員無法在場,僅要求密碼的子集仍可讓管理員存取 ID。
附註 亦可使用多重密碼來保護使用者 ID。
密碼回復
從忘記的密碼中回復的偏好方法就是使用 ID 儲存庫。當使用 ID 儲存庫時,協助人員或使用者可以輕易地重設密碼,而且使用者可以從任何 Notes 用戶端中自動使用新密碼。如果您不使用 ID 儲存庫,則替代回復方法就是使用較舊的 ID 檔案回復功能。
使用智慧卡保護 Notes ID
使用智慧卡登入 IBM Lotus Notes 時,使用者其實只是鎖定及解除鎖定其使用者 ID。將智慧卡用於 Lotus Notes 的好處在於使用者的網際網路私密金鑰可以儲存在智慧卡上,而不是儲存在工作站上。當使用者離開電腦時,可隨身攜帶智慧卡。對於一般及漫遊使用者而言,智慧卡會增加使用者 ID 的安全性。
自訂密碼政策
許多目前的資訊保護及資料隱私權法律包括在憑證驗證方面要選擇安全密碼的特殊需求。為協助使用者遵守這些法令,您可以運用政策施行密碼限制。這可確保使用者符合這些法律的要素 - 亦即不能是普通或可預期的密碼。
您可以透過安全政策設定文件建立及套用自訂密碼政策。
相關主題