Hesla v systému Orion

Z HelpDesk
Logo systému Kerberos

Mnoho služeb a komponent výpočetního prostředí Orion používá centrální systém ověření uživatelské identity pomocí hesla, které zajišťuje služba Kerberos. Pro běžného uživatele to znamená, že má jedno uživatelské jméno a jedno heslo, které mu funguje "všude". Často též hovoříme o "účtech orion" a "orion heslech" nebo "kerberos heslech". Takový systém je na jedné straně výhodný, protože si nemusíme pamatovat pro každý systém jiné jméno a heslo, ale na druhé straně je zde větší rozsah případných škod, pokud by heslo někdo získal a zneužil (vypůjčení knih v knihovně, projezení peněz v menze, přihlášení/odhlážení na zkoušky, zneužití konta k neetické činnosti...). Proto je důležité volit heslo obezřetně a uchovávat jej v tajnosti.

Volba dobrého hesla

Heslo je obvykle poslední prvek chránící vaše konto před zneužitím, tj. před čtením vaší pošty, přístupem k vašim datům nebo do studijní agendy, objednáváním jídel v menze atd. Doufáme, že je to pro vás dostatečný důvod, proč by vaše heslo mělo být

  • utajeno - uloženo ve vaší paměti a ne na lístečku v peněžence nebo na monitoru,
  • silné - tj. skládající se z několika skupin znaků jako jsou velké, malé znaky abecedy, číslice a interpunkční znaménka.

Omezení hesel je toto:

heslo musí být alespoň 6 znaků dlouhé
heslo musí obsahovat alespoň 2 skupiny znaků
skupiny jsou: Velká písmena, malá písmena, číslice, interpunkce

Dobré heslo vytvoříte například za pomoci známého textu a doplněním některých znaků:

Holka modrooká, nesedávej u potoka.
Hm8,nupot.

A máme pěkné desetipísmenné heslo, které obsahuje 4 skupiny znaků.

Každé heslo by mělo být jednou za čas změněno, aby se předešlo problémům při jeho odhalení. V současné době je tento interval stanoven na 6 měsíců.

Změny hesla

Od 1.7.2004 se v prostředí Orion změnila politika bezpečnosti hesel - hesla mají nastavenou expirační dobu na 6 měsíců (trvanlivost), po které je nutné heslo změnit, aby se váš uživatelský účet nezablokoval.

Jak si změnit Orion heslo v prostředí Unix/Linux (OrionLinux)

V prostředí Unix-Linux za pomocí programu passwd - buď v učebnách nebo na serverech eryx.zcu.cz nebo satyr.zcu.cz. (V případě, že používáte Linux-Unix stanici, která obsahuje standardní passwd, použijte kpasswd (Kerberos-passwd))

 $ passwd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42


Jak si změnit Orion heslo v jiném prostředí

V případě, že potřebujete změnit heslo a nepoužíváte CIVem podporovaný operační systém, pak se přihlašte pomocí programu ssh (ssh na UNIXu nebo Putty na MS Windows) na servery eryx.zcu.cz nebo satyr.zcu.cz a tam si heslo podle výše uvedeného návodu změňte.

 ssh eryx.zcu.cz
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz on pts/8
 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz
 Welcome to University of West Bohemia
 Project ORION
 Please, use command 'news' to read system news ( 4 items ).
 ---------------------------------------------------
          Quota       Used     % Used     Partition
 home     100000      35039        35%           19%
 ---------------------------------------------------
 eryx1> passwd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42

Jak si změnit Orion heslo přes web

Ukázka webové stránky pro změnu hesla.

Na stránce heslo.zcu.cz je připravená aplikace pro změnu hesla v projektu Orion. Aplikace se vám bude hodit ve třech případech:

  • máte zablokované konto v důsledku opakovaného ignorování výzvy ke změně hesla
  • chcete si heslo změnit na dálku
  • patříte mezi ten typ uživatelů, kterým věta "připojte se přes ssh na eryx" nic neříká :-)

Ovládání aplikace pro změnu hesla je prosté - zadáte jen uživatelské jméno (Orion login), současné heslo a dvakrát nové heslo.

Jak si změnit Orion heslo po telefonu

Služba je určena pro uživatele, kteří pobývají dlouhodobě mimo univerzitu a nemohou se dostavit osobně.

Ke změně hesla je potřeba:

  1. mít předem nastaven souhlas s touto službou a vyplněno telefonní číslo pro zpětné volání (nastavuje se na stránkách portálu v sekci Já/Souhlas se změnou Orion hesla na dálku)
  2. znát své rodné číslo a číslo JIS karty
  3. zavolat HelpDesk CIV: +420 377 638 888

Operátor následovně:

  1. zavolá na Vámi zadané číslo
  2. ověří Vaši totožnost kontrolou vybraných číslic z rodného čísla a čísla JIS karty
  3. nastaví nové heslo
Služba musí být předem povolena, jinak nebude požadavek na změnu hesla akceptován!

Často kladené otázky

  • Nic mi nefunguje, nemůžu se nikam přihlásit. Pomůžete mi?
Protože jste si nezměnil(a) heslo ani po dvou měsících upozorňování, heslo vám vypršelo. Nepanikařte! Použijte návod na změnu hesla a heslo si změníte bez problémů například na heslo.zcu.cz.
  • Už pět měsíců mi nic nefunguje, nemůžu se nikam přihlásit. Co s tím?
Protože jste nevyužil(a) ani čtyři měsíce na změnu svého dočasně zablokovaného hesla, vaše heslo bylo zablokováno. Prosím navštivte pracoviště HelpDesku CIV, kde vám heslo změní.
  • Nemůžu navštívit žádné operátorské pracoviště protože A nebo B. Změňte mi heslo a pošlete mi ho hned mailem. Je to možné?
Ne. Heslo vám nepošleme e-mailem. Nikdy. Prosím, nežádejte operátorské pracoviště o takovou službu - nemůžeme ji poskytnout. Řešením Vašeho problému může být předem aktivovaná změna hesla po telefonu.
  • Chtěl jsem si změnit heslo, ale nové heslo mi program nebere - jak na to?
  • Preauthentication failed getting initial ticket - nepodařilo se vám správně zadat vaše původní heslo. Koncentrujte se a zkuste to znovu.
  • Password mismatch while reading password - nové heslo jste zadal podruhé špatně. Koncentrujte se a zkuste to znovu.
  • New password does not have enough character classes - heslo je příliš jednoduché, prosím naučte se vytvořit dobré heslo.
  • program kpasswd nefunguje - to je chyba! Zkontrolujte, máte-li správný čas na své stanici (kde heslo měníte). Systém Kerberos, který používáme vyžaduje přesný čas.
  • web formulář na změnu hesla nefunguje - to je chyba! Prosím kontaktujte pracoviště HelpDesku CIV.
  • Proč si mám měnit heslo, když jsem si na něj už zvykl?
Protože je to tak bezpečnější. Dále nám to umožňuje automatickou kontrolu starých nebo nepoužívaných kont. Delší vysvětlení:
Pravděpodobnost odhalení hesla stoupá s časem. Čím déle máte stejné heslo, tím je pravděpodobnější, že ho někdo cizí zjistí. Když někdo cizí zjistí vaše heslo, může
  • v případě studenta přistupovat k vašim datům, mailu (Orion) nebo zapisovat vás na předměty a zkoušky (STAG)
  • v případě zaměstnance může navíc přistupovat například k virtuálním webserverům, měnit položky ve studijních a ekonomických agendách školy.
Každopádně může vaším jménem přihlašovat konference, objednávat zboží v elektronických obchodech atd atp. Může samosebou zneužívat vaše konto k nelegální činnosti (jak už se na univerzitě bohužel stalo). Jestli si myslíte, že vaše konto není pro útočníka zajímavé, pak si zkuste představit, co by se dalo podnikat například s cizím nezajímavým občanským průkazem...
  • Hesla mám uložená v programech na čtení pošty a www prohlížeči. Jak je mám podle vás změnit?
Změníte je podle návodu konkrétního programu. Většina programů má volbu "Smazat uložená hesla" a to prosím udělejte. Podle našeho názoru je ukládání hesel do programu stejně výhodné jako psát si je na monitor nebo klávesnici (tj. je to hodně špatný nápad).
  • Nepoužívám ZČU poštu. Nedostal jsem tak upozornění o prošlém heslu. Uděláte s tím něco hned?
Ne, udělejte s tím něco vy. Přečtěte si, jak se dá přeposílat pošta. Pak se veškeré nebo vybrané maily dostanou na váš účet mimo ZČU. Mimochodem podle Statutu ZĆU (článek 39, bod 3 a 4) je univerzitní e-mailová schránka považována za oficiální komunikační kanál.
  • Co se stane se zablokovaným kontem?
Po uplynutí času kdy je konto ještě funkční (mezi 6. a 8. měsícem stáří hesla) a docházejí varovné maily. Pak přestanou - konto je po 8. měsíci blokováno, nelze používat žádné služby projektu Orion ani navazujících výpočetních prostředí s výjimkou těchto služeb:
  • Přesměrování pošty na centrálním poštovním serveru. Pokud zde má uživatel nastaveno přesměrování, toto přesměrování se nadále uplatňuje. Přesměrování nelze u blokovaného konta měnit.
  • Doručování pošty. I blokované konto přijímá poštu (pokud zde není přesměrování), i když uživatel ji samozřejmě nemůže číst. V okamžiku kdy uživateli došlá pošta přeplní poštovní schránku, začne poštovní systém došlou poštu odmítat a vracet odesilateli.
Konto blokované z důvodu nezměnění hesla nebude smazáno a zůstane ve výše uvedeném stavu dokud se neodblokuje nebo nebude získána informace o ukončení studia či pracovního poměru. Tj. i uložená data zůstávají bezpečně uložena. Konto lze odblokovat se znalostí původního hesla do 12. měsíce a kdykoli (tj. i poté) kontaktem HelpDesku CIV či pověřeného správce (na základě JIS karty). Konto by mělo být v běžné situaci k dispozici pro práci do jedné hodiny po odblokování.
  • Nechci si měnit heslo!
Dočetli jste až sem a nechcete si měnit heslo? To je divné. Zkuste si znova přečíst celou stránku.

Průvodní dopisy oznamující změnu politiky hesel

Změna politiky údržby uživatelského hesla vypočetního prostředí Orion

Date: Tue, 29 Jun 2004 19:20:30 +0200
From: Jiri Sitera <sitera@civ.zcu.cz> 
Subject: Zmena politiky udrzby uzivatelskeho hesla vypocetniho prostredi Orion

Vážení uživatelé,

pro prokázání své osobní elektronické identity ve výpočetním prostředí
ZČU Orion používáte heslo. Jistě víte, že pro dosažení akceptovatelné
míry bezpečnosti je nezbytné dodržovat jistá pravidla pro tvorbu hesla
a pravidelně si heslo měnit. Přestože hlavní míra zodpovědnosti v této
oblasti leží na vás, mohou vám i nám zjednodušit situaci nástroje
dbající na dodržování základních pravidel. Jistě jste si již zvykli na
fakt, že nové uživatelské heslo musí splnit jistá kritéria. Nyní
zavádíme navíc nástroj pro kontrolu pravidelných změn uživatelských
hesel. Toto opatření si vynutil vzrůstající trend v počtu uživatelů,
kteří si pravidelně heslo nemění, nebo dokonce používají jedno heslo
od založení konta dosud. Institut povinné pravidelné změny hesel
nám navíc přinese automatickou blokaci nepoužívaných uživatelských kont
s možností jejich jednoduché aktivace.

Základní pravidla pro změnu hesla
---------------------------------
- Heslo požadujeme měnit každých 6 měsíců.

- Pokud si heslo nezměníte, po 6 měsících vám začnou chodit e-maily
   upozorňující na tuto skutečnost.

- Heslo je nezbytné si změnit před uplynutím 8 měsíců od poslední
   změny hesla.

- Pokud si heslo nezměníte do 8 měsíců, bude vám konto dočasně
   blokováno.

- U blokovaného konta máte možnost samoobslužně změnit heslo ještě po
   dobu dalších 4 měsíců (tedy do 12 měsíců stáří hesla). Původním heslem se
   nelze autentizovat ("přihlašovat"), ale lze na základě jeho znalosti zvolit
   heslo nové.

- Pokud si změnu hesla neprovedete ani do 12 měsíců, bude vaše
   konto nepřístupné a jeho novou aktivaci lze provést pouze osobní
   návštěvou HelpDesku (nebo pověřených správců v některých
   lokalitách).


Jinými slovy: Toto opatření je navrženo tak, aby vás co nejméně
obtěžovalo a přitom poskytlo jasná a z pohledu bezpečnosti přijatelná
pravidla. Jsme přesvědčeni, že požadavek na změnu hesla jednou za semestr
s odkladem na dva měsíce není nepřijatelná zátěž.
Naše úsilí směřuje dlouhodobě k tomu, aby si uživatel musel pamatovat
co nějméně hesel, optimálně jen jedno; je však naprosto nezbytné, aby toto 
takové heslo podléhalo přiměřeným bezpečnostním pravidlům.

Přechodná ustanovení
---------------------
Pro všechna uživatelská konta, jejichž heslo bylo naposledy změněno
před 1.3.2004, se pro účely vyhodnocování platnosti hesla považuje za
okamžik poslední změny hesla toto datum.
Jinými slovy: Těmto uživatelům začnou docházet varování po 1.9.2004 a
pokud si heslo nezmění, bude jim konto zablokováno dne 1.11.2004.

Jak si změnit heslo
-------------------
Dokumentace ke změně hesla je uvedena na vám jistě dobře známé stránce
http://support.zcu.cz/ v oddíle "Bezpečnost" - "Volba hesla". Tato
dokumentace bude do 1.8.2004 doplněna o "často kladené otázky" související
především s potenciálními problémy, které mohou změnu hesla provázet
(hesla uložená v MS Windows a aplikacích apod.).


S díky za vaše pochopení a respektování tohoto opatření jménem CIV,

   Jiří Sitera

Co se stane s kontem u kterého si nezměním včas heslo

Date: Mon, 11 Oct 2004 11:27:45 +0200 (CEST)
From: Jiri Sitera 
Subject: Co se stane s kontem u ktereho si nezmenim vcas heslo

Vážení uživatelé,

se začátkem listopadu vyprší lhůta pro změnu uživatelských hesel. V této
souvislosti si vám dovoluji dodat následující informace a požádat vás
ještě jednou o pochopení a spolupráci v této záležitosti, abychom se
vyhnuli nepříjemným situacím v příštím měsíci.


Upřesnění politiky změny hesla Orion
====================================

Dotaz: Musím si měnit heslo svojí uživatelské identity projektu Orion,
pokud toto uživatelské konto nepoužívám (protože např. používám
výhradně fakultní či katedrální výpočetní prostředí jako je Novell na
FPE)? Budou mi nadále chodit varovné maily? Půjde konto následně
odblokovat?


Co se stane s kontem, u kterého si nezměním včas heslo
------------------------------------------------------

- Po uplynutí času kdy je moje konto ještě funkční (mezi 6. a
  8. měsícem stáří hesla) mi dochází varovné maily. Pak přestanou.

- Konto je po 8. měsíci blokováno, nelze používat žádné služby
  projektu Orion ani navazujících výpočetních prostředí s výjimkou
  těchto služeb:

  - Přesměrování pošty na centrálním poštovním serveru. Pokud zde má
    uživatel nastaveno přesměrování, toto přesměrování se nadále
    uplatňuje. Přesměrování nelze u blokovaného konta měnit.

  - Doručování pošty. I blokované konto přijímá poštu (pokud zde není
    přesměrování) ikdyž uživatel ji samozřejmě nemůže číst. V okamžiku
    kdy uživateli došlá pošta přeplní poštovní schránku začne poštovní
    systém došlou poštu odmítat a vracet odesilateli.

- Konto blokované z důvodu nezměnění hesla nebude smazáno a zůstane ve
  výše uvedeném stavu dokud se neodblokuje nebo nebude získána
  informace o ukončení studia či pracovního poměru. Tj. i uložená data
  zůstávají bezpečně uložena.

- Konto lze odblokovat se znalostí původního hesla do 12. měsíce a
  kdykoli (tj. i poté) kontaktem HelpDesku CIV či pověřeného správce
  (na základě JIS karty). Konto by mělo být v běžné situaci k dispozici
  pro práci do jedné hodiny po odblokování.


Nepoužívání Orion konta
-----------------------

- Zaměstnanci a studenti ZČU by měli (v souladu se statutem ZČU) mít
  minimálně konto projektu Orion zřízené a nastavené přesměrování
  pošty z něj do prostředí, které běžně používají.

- Pokud uživatel nepotřebuje žádnou jinou službu než přesměrování
  pošty může ponechat konto dlouhodobě v blokovaném stavu z důvodu
  nezměnění hesla.

- Uživatel (zaměstnanec či student ZČU) nese zodpovědnost za svoje
  rozhodnutí. Není například možné aktivovat blokované konto bez
  osobní účasti uživatele na HelpDesku či u pověřeného správce, což
  může v některých případech vést k reálné nedostupnosti služeb
  projektu Orion (např. potřeba aktivace konta zjištěná během
  služební cesty atd.).


S pozdravem,
Jiří Sitera