Gebruikers wachtwoord policy
De wachtwoordpolicy is aan te passen met de volgende settings in de KIM KimProject.config:
De wachtwoordpolicy is aan te passen met de volgende settings: <!-- Password Policy for creating or changing a user password --> <setting id="PasswordPolicyRegex">(?=^.{10,}$)((?=.*\d)|(?=.*\W+))(?![.\n])(?=.*[A-Z])(?=.*[az]).*$</ setting> <setting id="PasswordPolicyDescription">Vul een geldig wachtwoord in dat voldoet aan de eisen. (Minimaal 10 karakters lang, minimaal 1 hoofdletter en minimaal 1 getal)</setting>
In de setting “PasswordPolicyRegex” kan een regular expression toegepast worden. Indien het wachtwoord
niet voldoet aan de expression wordt de melding getoond die geconfigureerd is in de setting
“PasswordPolicyDescription”.
Opslag van het wachtwoord
Het wachtwoord van de gebruiker wordt niet in plain tekst opgeslagen in de database van Kim van volgens onderstaand gegeven.
SHA-1 obsolete
Sinds jaar en dag maakt KIM voor de beveiliging van de gebruikersaccounts gebruik van het hashen van wachtwoorden met het SHA-1 algoritme. Hierdoor slaan we nooit de wachtwoorden zelf op, maar een hash ervan. Het SHA-1 algoritme is echter sindsdien verouderd en obsolete omdat deze onveilig is.
SHA-256 en grace period
Er zijn inmiddels betere algoritmes, zoals SHA-256, en de nieuwste versie van KIM gaama hier gebruik van maken.
Bestaande accounts worden automatisch omgezet naar het nieuwe algoritme op het moment dat er wordt ingelogd. De gebruiker merkt hier verder niets van.
Dit betekent echter wel dat het nog steeds mogelijk is om met accounts die beveiligd zijn met SHA-1 kan worden ingelogd.
Om dat risico te beperken en het gebruik van SHA-1 te stoppen, is er een in te stellen grace period, waarbinnen er nog ingelogd kan worden met een SHA-1 account.
Accounts die aan het einde van de grace period nog niet zijn omgezet naar SHA-1 (waar dus tijdens de grace period niet op is ingelogd), kunnen vanaf dat moment NIET meer inloggen.
Via een beheerder kan binnen KIM een nieuw wachtwoord worden ingesteld of een nieuw account worden aangemaakt. In beide gevallen wordt meteen van SHA-256 gebruik gemaakt.
Updaten en instellen
Updaten
Een aantal stored procedures en functies in de database zijn aangepast om gebruik te maken van SHA-256 en om het automatisch omzetten tijdens het inloggen te faciliteren. Ook zijn er een aantal mappersets aangepast.
Het is dus belangrijk om alles te updaten om van deze nieuwe SHA-256 beveiliging gebruik te maken!
Setting grace period
Er is een nieuwe setting bijgekomen dat in het KimProject.config-bestand kan worden ingesteld. Bij nieuwe KIM-websites staat deze setting er al in, maar bij bestaande websites dient deze te worden toegevoegd.
<settings> ... <!-- The PasswordHashGracePeriodEnd is a date after which it is no longer possible to log in with an older password hash method than the highest one (currently SHA256). It should be in the format yyyy-MM-dd --> <setting id="PasswordHashGracePeriodEnd">2023-12-31</setting> </settings>
In bovenstaand voorbeeld eindigt de grace period NA 31-12-2023. De opgegeven datum betreft dus de LAATSTE dag van de gewenste grace period.
BELANGRIJK: Als de grace period niet is ingesteld, of een ongeldige datum bevat, kan er niet met een SHA-1 account worden ingelogd.
Melding aanpassen
De melding die getoond wordt als een gebruiker probeert in te loggen terwijl de grace period niet (goed) is ingesteld, of wanneer de grace period voorbij is, kan worden ingesteld in het KcmMessages.xml-bestand
<kds:group id="authentication"> ... <kds:message id="graceperiodexpired" type="application"> <kds:description> Het gebruikersaccount kan niet meer automatisch aangepast worden om van de nieuwste beveliging gebruik te maken. Neem contact op met uw systeembeheerder. </kds:description> ... </kds:message> ... `</kds:group>
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren