Hesla v systému Orion
Mnoho služeb a komponent výpočetního prostředí Orion používá centrální systém ověření uživatelské identity pomocí hesla, které zajišťuje služba Kerberos. Pro běžného uživatele to znamená, že má jedno uživatelské jméno a jedno heslo, které mu funguje "všude". Často též hovoříme o "účtech orion" a "orion heslech" nebo "kerberos heslech". Takový systém je na jedné straně výhodný, protože si nemusíme pamatovat pro každý systém jiné jméno a heslo, ale na druhé straně je zde větší rozsah případných škod, pokud by heslo někdo získal a zneužil (vypůjčení knih v knihovně, projezení peněz v menze, přihlášení/odhlážení na zkoušky, zneužití konta k neetické činnosti...). Proto je důležité volit heslo obezřetně a uchovávat jej v tajnosti.
Volba dobrého hesla
Heslo je obvykle poslední prvek chránící vaše konto před zneužitím, tj. před čtením vaší pošty, přístupem k vašim datům nebo do studijní agendy, objednáváním jídel v menze atd. Doufáme, že je to pro vás dostatečný důvod, proč by vaše heslo mělo být
- utajeno - uloženo ve vaší paměti a ne na lístečku v peněžence nebo na monitoru,
- silné - tj. skládající se v několika skupin znaků jako jsou velké, malé znaky abecedy, číslice a interpunkční znaménka.
Omezení hesel je toto:
- heslo musí být alespoň 6 znaků dlouhé
- heslo musí obsahovat alespoň 2 skupiny znaků
- skupiny jsou: Velká písmena, malá písmena, číslice, interpunkce
Dobré heslo vytvoříte například za pomoci známého textu a doplněním některých znaků:
- Holka modrooká, nesedávej u potoka.
- Hm8,nupot.
A máme pěkné desetipísmenné heslo, které obsahuje 4 skupiny znaků.
Každé heslo by mělo být alespoň jednou do roka změněno, aby se předešlo problémům při jeho odhalení. Vyzýváme tedy uživatele sítě , aby si heslo pravidelně měnili.
Změny hesla
Od 1.7.2004 se v prostředí Orion změnila politika bezpečnosti hesel - hesla mají nastavenou expirační dobu (trvanlivost), po které je nutné heslo změnit, aby se váš uživatelský účet nezablokoval.
Jak si změnit Orion heslo v prostředí Unix/Linux (OrionLinux)
V prostředí Unix-Linux za pomocí programu passwd - buď v učebnách nebo na serverech eryx.zcu.cz nebo satyr.zcu.cz. (V případě, že používáte Linux-Unix stanici, která obsahuje standardní passwd, použijte kpasswd (Kerberos-passwd))
$ passwd Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23 Enter new password: Upln,EnOveHeslo42 Enter it again: Upln,EnOveHeslo42
Jak si změnit Orion heslo v prostředí Windows (OrioNT, OrionXP)
V operačních systémech Microsoft Windows, podporovaných CIVem (OrionXP a OrioNT v učebnách CIV a na stanicích IS; tedy ne ve Windows98!!!), se hesla mění pomocí programu kpasswd. Otevřete si příkazový řádek (Start->Spustit a do dialogu napište cmd) a na příkazovém řádku pusťte program kpasswd. Ovládání je stejné jako na UNIXových stanicích - neprve zadáte staré heslo, pak zadáte nové heslo a zopakujete jej.
(připravujeme obrázkový návod)
Jak si změnit Orion heslo v jiném prostředí
V případě, že potřebujete změnit heslo a nepoužíváte CIVem podporovaný operační systém, pak se přihlašte pomocí programu ssh (ssh na UNIXu nebo Putty na MS Windows) na servery eryx.zcu.cz nebo satyr.zcu.cz a tam si heslo podle výše uvedeného návodu změňte.
ssh eryx.zcu.cz Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz on pts/8 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz Welcome to University of West Bohemia Project ORION Please, use command 'news' to read system news ( 4 items ). --------------------------------------------------- Quota Used % Used Partition home 100000 35039 35% 19% --------------------------------------------------- eryx1> passwd Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23 Enter new password: Upln,EnOveHeslo42 Enter it again: Upln,EnOveHeslo42
Jak si změnit Orion heslo přes web
Na stránce heslo.zcu.cz je připravená aplikace pro změnu hesla v projektu Orion. Aplikace se vám bude hodit ve třech případech:
- máte zablokované konto v důsledku opakovaného ignorování výzvy ke změně hesla
- chcete si heslo změnit na dálku
- patříte mezi ten typ uživatelů, kterým věta "připojte se přes ssh na eryx" nic neříká :-)
Ovládání aplikace pro změnu hesla je prosté - zadáte jen uživatelské jméno (Orion login), současné heslo a dvakrát nové heslo.
Často kladené otázky
- Nic mi nefunguje, nemůžu se nikam přihlásit. Pomůžete mi?
- Protože jste si nezměnil(a) heslo ani po dvou měsících upozorňování, heslo vám vypršelo. Nepanikařte! Použijte návod na změnu hesla a heslo si změníte bez problémů například na heslo.zcu.cz.
- Už pět měsíců mi nic nefunguje, nemůžu se nikam přihlásit. Co s tím?
- Protože jste nevyužil(a) ani čtyři měsíce na změnu svého dočasně zablokovaného hesla, vaše heslo bylo zablokováno. Prosím navštivte pracoviště HelpDesku CIV, kde vám heslo změní.
- Nemůžu navštívit žádné operátorské pracoviště protože A nebo B. Změňte mi heslo a pošlete mi ho hned mailem. Je to možné?
- Ne. Heslo vám nepošleme mailem, ani nezavoláme. Nikdy. Prosím, nežádejte operátorské pracoviště o takové služby - nemůžeme je poskytnout.
- Chtěl jsem si změnit heslo, ale nové heslo mi program nebere - jak na to?
- Password mismatch while reading password - nové heslo jste zadal podruhé špatně. Koncentrujte se a zkuste to znovu.
- New password does not have enough character classes - heslo je příliš jednoduché, prosím naučte se vytvořit dobré heslo.
- program kpasswd nefunguje - to je chyba! zkontrolujte, máte-li správný čas na své stanici (kde heslo měníte). Systém Kerberos, který používáme vyžaduje přesný čas.
- web formulář na změnu hesla nefunguje - to je chyba! Prosím kontaktujte pracoviště HelpDesku CIV.
- Proč si mám měnit heslo, když jsem si na něj už zvykl?
- Protože je to tak bezpečnější. Dále nám to umožňuje automatickou kontrolu starých nebo nepoužívaných kont. Delší vysvětlení:
- Pravděpodobnost odhalení hesla stoupá s časem. Čím déle máte stejné heslo, tím je pravděpodobnější, že ho někdo cizí zjistí. Když někdo cizí zjistí vaše heslo, může
- v případě studenta přistupovat k vašim datům, mailu (Orion) nebo zapisovat vás na předměty a zkoušky (STAG)
- v případě zaměstnance může navíc přistupovat například k virtuálním webserverům, měnit položky ve studijních a ekonomických agendách školy.
- Každopádně může vaším jménem přihlašovat konference, objednávat zboží v elektronických obchodech atd atp. Může samosebou zneužívat vaše konto k nelegální činnosti (jak už se na univerzitě bohužel stalo). Jestli si myslíte, že vaše konto není pro útočníka zajímavé, pak si zkuste představit, co by se dalo podnikat například s cizím nezajímavým občanským průkazem...
- Hesla mám uložená v programech na čtení pošty a www prohlížeči. Jak je mám podle vás změnit?
- Změníte je podle návodu konkrétního programu. Většina programů má volbu "Smazat uložená hesla" a to prosím udělejte. Podle našeho názoru je ukládání hesel do programu stejně výhodné jako psát si je na monitor nebo klávesnici (tj. je to hodně špatný nápad).
- Nepoužívám ZČU poštu. Nedostal jsem tak upozornění o prošlém heslu. Uděláte s tím něco hned?
- Ne, udělejte s tím něco vy. Přečtěte si, jak se dá přeposílat pošta. pak se veškeré nebo vybrané maily dostanou na váš účet mimo ZČU.
- Co se stane se zablokovaným kontem?
- Po uplynutí času kdy je konto ještě funkční (mezi 6. a 8. měsícem stáří hesla) a docházejí varovné maily. Pak přestanou - konto je po 8. měsíci blokováno, nelze používat žádné služby projektu Orion ani navazujících výpočetních prostředí s výjimkou těchto služeb:
- Přesměrování pošty na centrálním poštovním serveru. Pokud zde má uživatel nastaveno přesměrování, toto přesměrování se nadále uplatňuje. Přesměrování nelze u blokovaného konta měnit.
- Doručování pošty. I blokované konto přijímá poštu (pokud zde není přesměrování) ikdyž uživatel ji samozřejmě nemůže číst. V okamžiku kdy uživateli došlá pošta přeplní poštovní schránku začne poštovní systém došlou poštu odmítat a vracet odesilateli.
- Konto blokované z důvodu nezměnění hesla nebude smazáno a zůstane ve výše uvedeném stavu dokud se neodblokuje nebo nebude získána informace o ukončení studia či pracovního poměru. Tj. i uložená data zůstávají bezpečně uložena. Konto lze odblokovat se znalostí původního hesla do 12. měsíce a kdykoli (tj. i poté) kontaktem HelpDesku CIV či pověřeného správce (na základě JIS karty). Konto by mělo být v běžné situaci k dispozici pro práci do jedné hodiny po odblokování.
- Nechci si měnit heslo!
- Dočetli jste až sem a nechcete si měnit heslo? To je divné. Zkuste si znova přečíst celou stránku.