Notes® 與 Domino® ID 的密碼保護
為確保 Domino® 系統的安全性,請以密碼保護所有的 Notes® 及 Domino® ID(發證者、伺服器及使用者)。以密碼保護 ID 時,密碼衍生的金鑰會加密 ID 中的資料。之後試圖存取郵件、開啟以伺服器為基礎的資料庫或檢查 ID 檔資訊時,系統會提示您輸入密碼。
本主題中的下列小節說明 Domino® 密碼保護功能。請注意,此資訊並不適用網際網路用戶端之密碼保護。
密碼品質
註冊使用者或伺服器,或建立發證者 ID 時,可使用 0 到 16 的等級來指定要對 ID 強制的密碼品質層次。層次越高,則密碼越複雜,因此,未獲授權的使用者猜出密碼的機率也越低。欲達到最理想的安全性,請指定至少 8 的密碼品質層次。
當您輸入新 ID 的密碼,或是當使用者變更現有 ID 的密碼時,會強制採用您所指派的密碼品質層次。當使用者變更其密碼時,Notes® 會顯示 ID 檔所需之密碼品質層次的相關資訊。使用者必須輸入符合層級準則的密碼;否則便不能變更密碼。
選擇密碼時,最好指定包含大小寫字母、數字及標點混合的隨機英數字串。同樣,最好指定完整的詞組而非單一字詞。密碼詞組容易記憶、猜中的機率低,且通常比單詞密碼長。如果選擇使用詞組,則應該拼錯一個以上的字詞,讓攻擊者難以猜中該詞組。
若要變更指派給 ID 的密碼品質層次,必須重新認證 ID 或使用安全性設定值原則文件。
時間延遲及防假冒機制
Notes® ID 的所有密碼皆有內建的時間延遲及防盜用機制,兩者皆可防制密碼猜測程式,並可防止類似密碼提示對話框的程式竊取密碼。時間延遲機制會在鍵入不正確的密碼後,延遲處理的時間。使用者鍵入密碼時,防假冒機制會建立其他程式無法複製的圖形樣式。
認證時的密碼及公開金鑰驗證
依預設,Notes® 及 Domino® 僅使用密碼保護儲存在 ID 檔中的資訊。不過,您可以配置伺服器,以在鑑別期間驗證密碼及 Notes® 公開金鑰。密碼及公開金鑰驗證會減少未獲授權的 ID 使用。如果設定伺服器驗證密碼,而未獲授權的使用者取得 ID 及其密碼,則獲授權的使用者只需變更該 ID 的密碼。如此,下一次未獲授權的使用者嘗試進行鑑別時,系統不會允許該使用者存取伺服器,因為 Domino® 會通知使用者必須變更此 ID 副本的密碼,以符合另一個 ID 副本的密碼,而未獲授權的使用者並不知道該密碼。
除了驗證密碼外,還可設定伺服器,要求使用者定期變更密碼。
ID 檔案加密
Notes® 金鑰會加密儲存在 Notes® ID 檔案中,且使用 ID 檔案密碼衍生的金鑰來加密。在 Domino® 7 之前,此金鑰是 64 位元。使用者現在可以選擇使用 128 位元 RC2 或 AES 金鑰或 256 位元 AES 金鑰,來加密 ID 檔。因為 ID 檔案現在可以儲存較大的文件加密金鑰,用以儲存 ID 檔案的加密安全性至少將會跟已儲存的金鑰一樣高。
多重密碼
若要為發證者及伺服器 ID 提供更嚴密的安全性,可為那些 ID 指派多重密碼。若使用多重密碼,則管理員群組必須協同存取 ID。例如,不想僅將發證者 ID 的權限授與單一人員時,此功能便十分有用。可指定存取 ID 時,只需提供指派的密碼子集。例如,可為 ID 指定四個密碼,但要求只需輸入其中任兩個密碼即可存取該 ID。即使所有的管理員無法在場,僅要求密碼的子集仍可讓管理員存取 ID。
密碼還原
從忘記的密碼中還原的喜好方法就是使用 ID 儲存庫。使用 ID 儲存庫時,協助人員或使用者可以輕易地重設密碼,而且使用者可以從任何 Notes® 用戶端中自動使用新密碼。如果您不使用 ID 儲存庫,則替代還原方法就是使用較舊的 ID 檔案還原功能。
使用智慧卡來保護 Notes® ID
使用智慧卡登入 Notes® 時,使用者其實只是鎖定及解除鎖定其使用者 ID。搭配使用智慧卡及 Notes® 的優點在於:使用者的網際網路私密金鑰可以儲存在智慧卡上,而不是儲存在工作站上。當使用者離開電腦時,可隨身攜帶智慧卡。對於一般及漫遊使用者而言,智慧卡會增加使用者 ID 的安全性。
自訂密碼原則
許多目前的資訊保護及資料隱私權法律包括在憑證驗證方面要選擇安全密碼的特殊需求。為協助使用者遵守這些法令,您可以運用原則施行密碼限制。這可確保使用者符合這些法律的要素 - 亦即不能是普通或可預期的密碼。
您可以透過安全原則設定文件建立及套用自訂密碼原則。