SICHERHEIT
In den folgenden Abschnitten sind die Merkmale des Domino-Kennwortschutzes beschrieben. Beachten Sie, dass diese Informationen nicht für den Kennwortschutz für Internet-Clients gelten.
Kennwortqualität
Wenn Sie einen Benutzer oder Server registrieren oder eine Zertifizierer-ID erstellen, verwenden Sie eine Skala von 0 bis 16, um den Grad der Kennwortqualität anzugeben, der für die ID erzwungen werden soll. Je höher der Grad, desto komplexer ist das Kennwort und um so schwieriger ist es für einen nicht berechtigten Benutzer, das Kennwort zu erraten. Geben Sie für eine optimale Sicherheit einen Grad von mindestens 8 an.
Der von Ihnen zugewiesene Grad der Kennwortqualität wird angewendet, wenn Sie ein Kennwort für neue IDs eingeben oder wenn Benutzer das Kennwort für eine vorhandene ID ändern. Wenn Benutzer ihre Kennwörter ändern, werden in Notes Informationen zu dem für die ID-Datei erforderlichen Grad der Kennwortqualität angezeigt. Die Benutzer müssen ein Kennwort eingeben, das den Kriterien für den Grad entspricht. Anderenfalls dürfen sie das Kennwort nicht ändern.
Wählen Sie als Kennwort nach Möglichkeit eine zufällige, alphanumerische Zeichenfolge, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Satzzeichen enthält. Außerdem ist es besser, einen ganzen Satz und kein einzelnes Wort anzugeben. Ein Kennsatz lässt sich einfacher merken, ist schwer zu erraten und in der Regel länger als ein aus einem Wort bestehendes Kennwort. Wenn Sie sich für einen Satz entscheiden, sollten Sie ein Wort oder mehrere Wörter falsch schreiben, damit es für Angreifer schwieriger wird, den Satz zu erraten.
Um den einer ID zugewiesenen Grad der Kennwortqualität zu ändern, müssen Sie die ID erneut zertifizieren oder ein Einstellungsdokument für Sicherheitsrichtlinien verwenden.
Mechanismen zur Zeitverzögerung und zum Schutz vor Kennwort-"Nachahmungen"
Alle Kennwörter für Notes-IDs verfügen über integrierte Mechanismen zur Zeitverzögerung und zum Schutz vor Nachahmungen des Kennworts, die Programmen zum Erraten von Kennwörtern entgegenwirken und den Diebstahl von Kennwörtern durch Programme verhindern, die dem Dialogfeld zur Kennwort-Eingabeaufforderung ähneln. Durch den Zeitverzögerungsmechanismus wird der Zeitraum verzögert, den ein Benutzer abwarten muss, bevor er nach der Eingabe eines falschen Kennworts fortfahren kann. Wenn ein Kennwort eingegeben wird, erstellt der Mechanismus zum Schutz vor Kennwort-"Nachahmungen" ein Grafikmuster, das andere Programme nicht reproduzieren können.
Kennwörter und öffentliche Schlüssel während der Authentifizierung bestätigen
Standardmäßig verwenden Notes und Domino Kennwörter nur zum Schutz von Informationen, die in ID-Dateien gespeichert sind. Allerdings können Sie Server so konfigurieren, dass sie Kennwörter und öffentliche Notes-Schlüssel während der Authentifizierung prüfen. Durch die Prüfung von Kennwörtern und öffentlichen Schlüsseln wird die nicht berechtigte Verwendung von IDs verringert. Wenn Sie einen Server zur Prüfung von Kennwörtern einrichten und ein nicht berechtigter Benutzer in den Besitz einer ID und des entsprechenden Kennworts gelangt, muss der berechtigte Benutzer lediglich das Kennwort für die ID ändern. Wenn der nicht berechtigte Benutzer erneut versucht, eine Authentifizierung durchzuführen, wird diesem Benutzer kein Zugriff auf den Server gewährt. Domino informiert den Benutzer darüber, dass er das Kennwort in dieser Kopie der ID ändern muss, damit sie der ID in einer anderen Kopie entspricht (die dem nicht berechtigten Benutzer nicht bekannt ist).
Außer zur Prüfung von Kennwörtern können Sie Server so einrichten, dass die Benutzer zum regelmäßigen Ändern ihrer Kennwörter gezwungen werden.
Verschlüsselung der ID-Datei
Notes-Schlüssel werden verschlüsselt in der Notes-ID-Datei gespeichert. Sie werden mit einem Schlüssel entschlüsselt, der aus dem Kennwort der ID-Datei abgeleitet wird. In der Vorversionen von Domino 7 wurde ein 64-Bit-Schlüssel verwendet. Jetzt haben Benutzer die Möglichkeit, zur Verschlüsselung der ID-Datei entweder einen 128-Bit-RC2-Schlüssel, einen 128-Bit-AES-Schlüssel oder einen 256-Bit-AES-Schlüssel zu verwenden. Da die ID-Datei jetzt größere Verschlüsselungsschlüssel für Dokumente speichern kann, sind die beim Speichern der Schlüsseln verwendeten Verschlüsselungsschlüssel mindestens genauso lang wie die gespeicherten Schlüssel selbst.
Mehrfachkennwörter
Sie erzielen eine noch größere Sicherheit für Zertifizierer- und Server-IDs, wenn Sie diesen IDs Mehrfachkennwörter zuweisen. Bei Verwendung von Mehrfachkennwörtern muss eine Gruppe von Administratoren beim Zugriff auf eine ID zusammenarbeiten. Diese Funktion ist beispielsweise nützlich, wenn Sie nicht nur einer Person die Berechtigung für eine Zertifizierer-ID geben möchten. Sie können angeben, dass nur ein Teil der zugewiesenen Kennwörter für den Zugriff auf die ID erforderlich sein soll. So können Sie beispielsweise der ID vier Kennwörter zuweisen, aber verlangen, dass nur zwei beliebige der vier Kennwörter eingegeben werden müssen, um Zugriff auf die ID zu erhalten. Wenn nur ein Teil der Kennwörter verlangt wird, können Administratoren auch dann auf die ID zugreifen, wenn nicht alle Administratoren anwesend sind.
Anmerkung: Benutzer-IDs können auch mit Mehrfachkennwörtern gesichert werden.
Kennwortwiederherstellung
Das bevorzugte Verfahren zur Wiederherstellung vergessener Kennwörter ist die Nutzung einer ID-Vault. Mit einer ID-Vault können Support-Mitarbeiter und Benutzer auf einfache Weise Kennwörter zurücksetzen. Außerdem können Benutzer ihre neuen Kennwörter von einem beliebigen Notes-Client aus verwenden. Falls Sie keine ID-Vault verwenden, können Sie als Alternative die ältere Funktion der ID-Dateiwiederherstellung verwenden.
Smartcard zum Sichern einer Notes-ID verwenden
Beim Verwenden von Smartcards zum Anmelden bei Notes sperren oder entsperren die Benutzer im Wesentlichen ihre Benutzer-IDs. Der Vorteil der Verwendung einer Smartcard in Notes liegt darin, dass die privaten Internetschlüssel des Benutzers auf der Smartcard anstatt auf der Workstation gespeichert werden können. Die Benutzer können die Smartcards dann mitnehmen, wenn Sie sich nicht in der Nähe ihres Computers aufhalten. Smartcards erhöhen die Sicherheit von Benutzer-IDs sowohl für normale als auch für Roaming-Benutzer.
Benutzerdefinierte Kennwortrichtlinien
Viele aktuelle Informations- und Datenschutzbestimmungen verlangen die Auswahl sicherer Kennwörter zur Identifizierung. Wenn Sie möchten, dass Benutzer diese Bestimmungen einhalten, können Sie Kennworteinschränkungen auf Richtlinienbasis implementieren. Auf diese Weise erkennen die Benutzer den wesentlichen Aspekt dieser Bestimmungen - nämlich dass Kennwörter nicht trivial sind oder erraten werden können.
Zu diesem Zweck erstellen Sie mithilfe von Einstellungsdokumenten für Sicherheitsrichtlinien benutzerdefinierte Kennwortrichtlinien und wenden diese an.
Zugehörige Konzepte Die gemeinsame Notes-Anmeldung zum Vermeiden von Kennworteingaben verwenden Namens- und Kennwortauthentifizierung für Internet-/Intranet-Clients Benutzerkennwörter während der Authentifizierung prüfen Sicherheit von öffentlichen Schlüsseln Domino-Server und Notes-Benutzer-IDs Benutzerregistrierung
Zugehörige Tasks Einstellungsdokument für Sicherheitsrichtlinien Verschlüsselung für ID-Dateien konfigurieren Server- und Zertifizierer-IDs Mehrfachkennwörter zuweisen Physische Sicherung des Domino-Servers
Zugehörige Verweise Wissenswertes über die Kennwortqualität Benutzerdefinierte Kennwortrichtlinien
Zugehörige Informationen Verschlüsselung