Hesla v systému Orion

Mnoho služeb a komponent výpočetního prostředí Orion používá centrální systém ověření uživatelské identity pomocí hesla, které zajišťuje služba Kerberos. Pro běžného uživatele to znamená, že má jedno uživatelské jméno a jedno heslo, které mu funguje "všude". Často též hovoříme o "účtech orion" a "orion heslech" nebo "kerberos heslech". Takový systém je na jedné straně výhodný, protože si nemusíme pamatovat pro každý systém jiné jméno a heslo, ale na druhé straně je zde větší rozsah případných škod, pokud by heslo někdo získal a zneužil (vypůjčení knih v knihovně, projezení peněz v menze, přihlášení/odhlážení na zkoušky, zneužití konta k neetické činnosti...). Proto je důležité volit heslo obezřetně a uchovávat jej v tajnosti.

Volba dobrého hesla

Heslo je obvykle poslední prvek chránící vaše konto před zneužitím, tj. před čtením vaší pošty, přístupem k vašim datům nebo do studijní agendy, objednáváním jídel v menze atd. Doufáme, že je to pro vás dostatečný důvod, proč by vaše heslo mělo být

• utajeno - uloženo ve vaší paměti a ne na lístečku v peněžence nebo na monitoru,
• silné - tj. skládající se v několika skupin znaků jako jsou velké, malé znaky abecedy, číslice a interpunkční znaménka.

Omezení hesel je toto:

heslo musí být alespoň 6 znaků dlouhé

heslo musí obsahovat alespoň 2 skupiny znaků

skupiny jsou: Velká písmena, malá písmena, číslice, interpunkce

Dobré heslo vytvoříte například za pomoci známého textu a doplněním některých znaků:

Holka modrooká, nesedávej u potoka.

Hm8,nupot.

A máme pěkné desetipísmenné heslo, které obsahuje 4 skupiny znaků.

Každé heslo by mělo být alespoň jednou do roka změněno, aby se předešlo problémům při jeho odhalení. Vyzýváme tedy uživatele sítě , aby si heslo pravidelně měnili.

Změny hesla

Od 1.7.2004 se v prostředí Orion změnila politika bezpečnosti hesel - hesla mají nastavenou expirační dobu (trvanlivost), po které je nutné heslo změnit, aby se váš uživatelský účet nezablokoval.

Jak si změnit Orion heslo v prostředí Unix/Linux (OrionLinux)

V prostředí Unix-Linux za pomocí programu passwd - buď v učebnách nebo na serverech eryx.zcu.cz nebo satyr.zcu.cz. (V případě, že používáte Linux-Unix stanici, která obsahuje standardní passwd, použijte kpasswd (Kerberos-passwd))

 $ passwd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42

Jak si změnit Orion heslo v prostředí Windows (OrioNT, OrionXP)

V operačních systémech Microsoft Windows, podporovaných CIVem (OrionXP a OrioNT v učebnách CIV a na stanicích IS; tedy ne ve Windows98!!!), se hesla mění pomocí programu kpasswd. Otevřete si příkazový řádek (Start->Spustit a do dialogu napište cmd) a na příkazovém řádku pusťte program kpasswd. Ovládání je stejné jako na UNIXových stanicích - neprve zadáte staré heslo, pak zadáte nové heslo a zopakujete jej.

(připravujeme obrázkový návod)

Jak si změnit Orion heslo v jiném prostředí

V případě, že potřebujete změnit heslo a nepoužíváte CIVem podporovaný operační systém, pak se přihlašte pomocí programu ssh (ssh na UNIXu nebo Putty na MS Windows) na servery eryx.zcu.cz nebo satyr.zcu.cz a tam si heslo podle výše uvedeného návodu změňte.

 ssh eryx.zcu.cz
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz on pts/8
 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz
 Welcome to University of West Bohemia
 Project ORION
 Please, use command 'news' to read system news ( 4 items ).
 ---------------------------------------------------
          Quota       Used     % Used     Partition
 home     100000      35039        35%           19%
 ---------------------------------------------------
 eryx1> passwd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42

Jak si změnit Orion heslo přes web

Na stránce heslo.zcu.cz je připravená aplikace pro změnu hesla v projektu Orion. Aplikace se vám bude hodit ve třech případech:

• máte zablokované konto v důsledku opakovaného ignorování výzvy ke změně hesla
• chcete si heslo změnit na dálku
• patříte mezi ten typ uživatelů, kterým věta "připojte se přes ssh na eryx" nic neříká :-)

Ovládání aplikace pro změnu hesla je prosté - zadáte jen uživatelské jméno (Orion login), současné heslo a dvakrát nové heslo.

Často kladené otázky

• Nic mi nefunguje, nemůžu se nikam přihlásit. Pomůžete mi?

Protože jste si nezměnil(a) heslo ani po dvou měsících upozorňování, heslo vám vypršelo. Nepanikařte! Použijte návod na změnu hesla a heslo si změníte bez problémů například na heslo.zcu.cz.

• Už pět měsíců mi nic nefunguje, nemůžu se nikam přihlásit. Co s tím?

Protože jste nevyužil(a) ani čtyři měsíce na změnu svého dočasně zablokovaného hesla, vaše heslo bylo zablokováno. Prosím navštivte pracoviště HelpDesku CIV, kde vám heslo změní.

• Nemůžu navštívit žádné operátorské pracoviště protože A nebo B. Změňte mi heslo a pošlete mi ho hned mailem. Je to možné?

Ne. Heslo vám nepošleme mailem, ani nezavoláme. Nikdy. Prosím, nežádejte operátorské pracoviště o takové služby - nemůžeme je poskytnout.

• Chtěl jsem si změnit heslo, ale nové heslo mi program nebere - jak na to?

• Password mismatch while reading password - nové heslo jste zadal podruhé špatně. Koncentrujte se a zkuste to znovu.
• New password does not have enough character classes - heslo je příliš jednoduché, prosím naučte se vytvořit dobré heslo.
• program kpasswd nefunguje - to je chyba! zkontrolujte, máte-li správný čas na své stanici (kde heslo měníte). Systém Kerberos, který používáme vyžaduje přesný čas.
• web formulář na změnu hesla nefunguje - to je chyba! Prosím kontaktujte pracoviště HelpDesku CIV.

• Proč si mám měnit heslo, když jsem si na něj už zvykl?

Protože je to tak bezpečnější. Dále nám to umožňuje automatickou kontrolu starých nebo nepoužívaných kont. Delší vysvětlení:

Pravděpodobnost odhalení hesla stoupá s časem. Čím déle máte stejné heslo, tím je pravděpodobnější, že ho někdo cizí zjistí. Když někdo cizí zjistí vaše heslo, může

• v případě studenta přistupovat k vašim datům, mailu (Orion) nebo zapisovat vás na předměty a zkoušky (STAG)
• v případě zaměstnance může navíc přistupovat například k virtuálním webserverům, měnit položky ve studijních a ekonomických agendách školy.

Každopádně může vaším jménem přihlašovat konference, objednávat zboží v elektronických obchodech atd atp. Může samosebou zneužívat vaše konto k nelegální činnosti (jak už se na univerzitě bohužel stalo). Jestli si myslíte, že vaše konto není pro útočníka zajímavé, pak si zkuste představit, co by se dalo podnikat například s cizím nezajímavým občanským průkazem...

• Hesla mám uložená v programech na čtení pošty a www prohlížeči. Jak je mám podle vás změnit?

Změníte je podle návodu konkrétního programu. Většina programů má volbu "Smazat uložená hesla" a to prosím udělejte. Podle našeho názoru je ukládání hesel do programu stejně výhodné jako psát si je na monitor nebo klávesnici (tj. je to hodně špatný nápad).

• Nepoužívám ZČU poštu. Nedostal jsem tak upozornění o prošlém heslu. Uděláte s tím něco hned?

Ne, udělejte s tím něco vy. Přečtěte si, jak se dá přeposílat pošta. pak se veškeré nebo vybrané maily dostanou na váš účet mimo ZČU.

• Co se stane se zablokovaným kontem?

Po uplynutí času kdy je konto ještě funkční (mezi 6. a 8. měsícem stáří hesla) a docházejí varovné maily. Pak přestanou - konto je po 8. měsíci blokováno, nelze používat žádné služby projektu Orion ani navazujících výpočetních prostředí s výjimkou těchto služeb:

• Přesměrování pošty na centrálním poštovním serveru. Pokud zde má uživatel nastaveno přesměrování, toto přesměrování se nadále uplatňuje. Přesměrování nelze u blokovaného konta měnit.
• Doručování pošty. I blokované konto přijímá poštu (pokud zde není přesměrování) ikdyž uživatel ji samozřejmě nemůže číst. V okamžiku kdy uživateli došlá pošta přeplní poštovní schránku začne poštovní systém došlou poštu odmítat a vracet odesilateli.

Konto blokované z důvodu nezměnění hesla nebude smazáno a zůstane ve výše uvedeném stavu dokud se neodblokuje nebo nebude získána informace o ukončení studia či pracovního poměru. Tj. i uložená data zůstávají bezpečně uložena. Konto lze odblokovat se znalostí původního hesla do 12. měsíce a kdykoli (tj. i poté) kontaktem HelpDesku CIV či pověřeného správce (na základě JIS karty). Konto by mělo být v běžné situaci k dispozici pro práci do jedné hodiny po odblokování.

• Nechci si měnit heslo!

Dočetli jste až sem a nechcete si měnit heslo? To je divné. Zkuste si znova přečíst celou stránku.