|
Пароли |
Прокрутить Назад Начало Далее Больше |
Надежные пароли
Требовать надежного пароля
По умолчанию MDaemon требует придумать надежный пароль при создании новых учетных записей или смене старого пароля. Удалите метку из поля, чтобы отключить требование надежного пароля.
Надежный пароль должен:
•Соответствовать требованиям к минимальной длине.
•Содержать символы в верхнем и нижнем регистрах.
•Содержать буквы и цифры.
•Содержать специальный символ (если ниже установлена опция специального символа)
•Не содержать полного имени пользователя или почтового ящика.
•Отсутствовать в списке плохих паролей.
Минимальная длина пароля (не менее 8 символов)
Эта опция позволит задать минимальную длину пароля, который будет восприниматься системой как надежный. Минимальное значение параметра составляет 8 символов, но рекомендуется указать большее значение.Значение по умолчанию для новых установок MDaemon — 10 символов. Изменение настройки не затронет уже существующие пароли, которые могут быть короче заданного минимума. При этом когда такие пользователи будут менять свой пароль в следующий раз, этот параметр будет использован принудительно.
|
Независимо от предъявляемых требований к минимальной длине пароля пароль может быть длиннее 72 символов - в случае установки опции "Использовать необратимое шифрование для хранения паролей к почтовым ящикам" ниже. Если эта опция отключена, пароли не могут быть длиннее 15 символов. |
Пароль должен содержать специальный символ
По умолчанию для новых установок MDaemon надежные пароли также должны содержать по крайней мере один из следующих специальных символов: !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~. Отключите эту опцию, если вы не хотите использовать в надежных паролях специальный символ.
Редактировать файл плохих паролей
Нажмите эту кнопку для редактирования файла плохих паролей. Записи в этой файле не чувствительны к регистру и не могут использоваться в качестве паролей. Здесь можно использовать сложные комбинации символов, а также Регулярные выражения и т.п. Строки, которые начинаются с символа "!", рассматриваются в качестве Регулярных выражений.
Принудительная смена ненадежных паролей
Щелкните по этой кнопке, чтобы обеспечить принудительную смену всех ненадежных паролей, используемых учетными записями. Каждая учетная запись с ненадежным паролем будет заблокирована до смены пароля. Пароль может быть изменен администратором через интерфейс MDaemon, а заблокированные пользователи могут поменять пароль из Webmail или через интерфейс удаленного управления Webmail или Remote Administration Интерфейс. При попытке подключения со старым паролем пользователю будет предложено создать новый пароль перед тем, как он сможет продолжить работу. Примечание:Эта опция недоступна при использовании опции "Использовать необратимое шифрование для хранения паролей к почтовым ящикам" ниже).
Сообщать о ненадежных паролях
Щелкните по этой кнопке, чтобы сгенерировать отчет обо всех учетных записях MDaemon, использующих ненадежные пароли. После нажатия на кнопку OK отчет будет отправлен по указанному вами адресу. Примечание:Эта опция недоступна при использовании опции "Использовать необратимое шифрование для хранения паролей к почтовым ящикам" ниже).
Настройки пароля
Срок действия пароля, в днях (0=срок действия пароля не ограничен)
Эта опция позволяет задать максимальное количество дней, в течение которого учетная запись может не менять пароль. По умолчанию используется значение "0", означающее что, срок действия пароля не ограничен. Если ограничить этот срок, например, 30 днями, то пользователь должен будет поменять пароль в течение 30 дней, начиная с даты последнего изменения пароля учетной записи. Если эта опция включена и владелец учетной записи не сменил пароль по истечению заданного срока, такой пароль считается просроченным. Пользователь лишится доступа к серверу через POP, IMAP, SMTP, Webmail и Remote Administration, Webmail или Remote Administration. Пользователь при этом сможет подключаться к Webmail или Remote Administration, однако, для продолжения работы он должен будет изменить свой пароль. Изменить пароль из почтового клиента, наподобие Outlook или Thunderbird, нельзя. Многие почтовые программы не показывают подробности при ошибке подключения к серверу, поэтому пользователям может потребоваться помощь администратора, чтобы разобраться с проблемой.
|
Для смены пароля через Webmail или Remote Administration пользователю должно быть предоставлено право "…редактировать пароль" на экране разрешений веб-доступа в диалогеВеб-сервисы. Будьте осторожны с этой опцией, поскольку для некоторых пользователей смена пароля может оказаться чересчур трудной задачей. |
Ежедневно уведомлять пользователя об окончании срока действия пароля в течение [xx] дней (0=никогда)
При приближении окончания срока действия пароля пользователю отправляется напоминание о необходимости сменить пароль. Эта опция задает, за сколько дней до окончания срока действия пароля MDaemon начинает ежедневно отправлять такие напоминания.
Запоминать такое количество старых паролей (0=не запоминать)
Воспользуйтесь этой опцией для указания количества старых паролей, запоминаемых сервером MDaemon для каждого пользователя. При смене пароля сервер не разрешит повторно воспользоваться старым паролем. По умолчанию значение этой опции равно "0" (отключено).
Использовать необратимое шифрование для хранения паролей к почтовым ящикам
Включите эту опцию, если хотите, чтобы сервер MDaemon использовал необратимое шифрование для хранения паролей. Этот механизм сделает пароли недоступными для расшифровки сервером MDaemon, администратором или вероятным инициатором атаки. Для решения указанной задачи MDaemon использует функцию хэширования паролейbcrypt, которая поддерживает достаточно длинные пароли (до 72 символов) и обеспечивает их безопасность при экспорте и импорте учетных записей. Стоит отметить, что некоторые из существующих функций несовместимы с данным механизмом (например, обнаружение ненадежных паролей или авторизация APOP и CRAM-MD5), поскольку они предполагают возможность расшифровки пароля сервером MDaemon. Необратимое шифрование паролей включено по умолчанию.
Взломанные пароли
MDaemon может проверить пароль пользователя по скомпрометированному списку паролей сторонних служб. Это можно сделать без передачи пароля такой службе. При этом если пароль пользователя присутствует в таком списке, это не всегда означает, что учетная запись была взломана. Это означает, что кто-то где-то использовал те же символы, что и символы в таком пароле, и это произошло в результате взлома данных. Опубликованные пароли могут использоваться хакерами при атаках по словарю, поэтому уникальные пароли, которые никогда не использовались где-либо еще, являются более безопасными. См.Взломанные пароли для дополнительной информации.
Не разрешать использование паролей, найденны в списке скомпрометированных паролей от третьих лиц
Установите этот флажок, если вы не хотите, чтобы пароль учетной записи был установлен на тот, который находится в скомпрометированном списке паролей.
Проверять факт взлома пароля при входе в систему и отправлять электронное письмо с предупреждением каждые [xx] дней (0 = никогда)
С помощью этой опции вы можете автоматически проверять пароль каждого пользователя по списку скомпрометированных паролей один раз каждое указанное количество дней - тогда, когда каждый пользователь входит в систему. Если при этом выясняется, что они используют скомпрометированный пароль, на учетную запись, а также постмастеру отправляется соответствующее электронное письмо с предупреждением. Предупреждающие письма можно настроить, отредактировав файлы шаблонов сообщений в папкеMDaemon\App. Поскольку инструкции о том, как пользователь должен изменить свой пароль, зависят от того, использует ли учетная запись пароль, хранящийся в MDaemon, или же она использует аутентфикациюActive Directory, имеется два файла шаблона:CompromisedPasswordMD.dat иCompromisedPasswordAD.dat. Макросы можно использовать для персонализации сообщений, изменения тем, получателей и т.д.
Пароли приложений
Пароли приложений— это опция, которую можно использовать для повышения безопасности учетных записей путем создания надежных, случайно сгенерированных паролей. Их используют только в почтовых клиентах и почтовых приложениях, поскольку эти приложения не могут быть защищены двухфакторной аутентификацией (2FA). См.Пароли приложений.
Включить пароли приложений
По умолчанию при входе в Webmail с использованием двухфакторной аутентификации создавать пароли приложений для своих учетных записей могут все пользователи. Если вы хотите отключить поддержку пароля приложения для определенного пользователя, вы можете сделать это с помощью опции...редактировать пароли приложений на странице веб-сервисов пользователя.
Требовать двухфакторную аутентификацию для установки паролей приложений
По умолчанию, чтобы создать новый пароль приложения, пользователи должны войти в Webmail с помощью двухфакторной аутентификации (2FA). Отключать это требование не рекомендуется. Глобальные администраторы от этого требования в MDRA освобождены, однако при входе в MDRA или Webmail им по-прежнему рекомендуется всегда использовать 2FA.
Удалить пароли приложений при изменении пароля учетной записи
По умолчанию при изменении пароля учетной записи все пароли приложений будут удалены, и пользователю потребуется создать новые, если он хочет их использовать или обязан использовать их в соответствии с настройкой "Требовать пароли приложений..." (см. примечание ниже).
|
На странице настроек Редактора учетных записей есть параметр учетной записи, который можно использовать, чтобы "Требовать пароль приложения для входа в SMTP, IMAP, ActiveSync и т.д." Такая опция может помочь защитить пароль учетной записи от "атак по словарю" и "грубой силы" через SMTP, IMAP и т.д. Это более безопасно, потому что даже если атака такого рода и могла бы угадать фактический пароль учетной записи, она не сработает, т.к. MDaemon подтвердит только правильный пароль приложения. Кроме того, если ваши учетные записи в MDaemon используют аутентификацию Active Directory, и при этом Active Directory блокирует учетную запись после нескольких неудачных попыток входа, этот параметр может помочь предотвратить блокировку учетных записей, поскольку MDaemon будет проверять только пароли приложений и не будет пытаться аутентифицироваться в Active Directory. |
См.
Редактор аккаунта » Детали аккаунта
Редактор учетных записей » Веб-сервисы
Редактор учетных Пароли приложений
