IBM关于LotusDominoHTTP密码散列安全性的说明和最佳实践.PDFVIP

IBM 关于Lotus Domino HTTP 密码散列安全 性的说明和最佳实践 本文档是tus Domino 目录中存储的密码散列的安全技术说明。并介绍了及 最新版本在密码安全性的保护方面的改进，并提出关于如何加强对密码保护的最佳 实践和建议。 Lotus Domino HTTP 密码散列加密的相关说明 Lotus Domino/Notes平台对于用户的HTTP密码存储的实现是把HTTP密码经过散列加密处理 以后，把散列值保存在用户的个人文档中。把密码散列值保存在Domino 目录中不代表这些密码一 定会被破解。Domino 目录所保存的HTTP密码都是经过散列加密的处理，这些散列值采用了高强度 的、单向的加密算法，是不可逆的。当然如果从暴力破解方面来考虑，暴力破解不仅仅是对Lotus Domino才会造成威胁，任何的应用软件不管它把密码保存在什么地方，这些密码都是有可能受到 被暴力破解的威胁。 在十几年前，支持Web访问的第一个Domino版本所保存的HTTP密码的格式采用了安全较低的 加密算法。在这种算法对一个固定的密码字符串处理时，每次产生的散列值都是一样的。例如， 字符串“password”经过散列加密处理以后所生成的散列值是 “355E98E7C7B59BD810ED845AD0FD2FC4”。从Domino 4.6版本以后，Domino采用更加安全的散列 加密算法，这种新的算法在做加密的过程中都添加了随机因子，也就是说同一个字符串每次加密 处理以后都是不一样的值。旧的散列加密算法容易被暴力破解或者受到字典式的攻击。Domino 出于向前兼容的原因目前还支持这种加密方式。同时提供了新的更加安全的密码格式的支持。 Lotus Domino从8.5及后续的版本中默认启用了“使用更加安全的因特网密码”，默认对HTTP 密码采用了安全性较高的散列加密，从而确保了HTTP密码的更高的安全性。而对于Domino8.5之 前的版本，虽然Lotus Domino提供了新旧两种加密方式的支持，默认还是采用旧的方式，为了确 保HTTP密码不受到暴力破解的攻击，对于Domino 8.5之前的版本需要管理员手动设置Domino 目录 概要文档，启用 “使用更加安全的因特网密码”并确认所有的个人文档都使用新的格式。 Lotus Domino 8.5 及以后版本对HTTP 安全性的改进 Lotus Domino一直致力于对HTTP密码安全方面的保护，以下是Lotus Domino 在Lotus Domino8.5及以后的版本中，Lotus提供了“强制因特网密码锁定”的设置，此功能可以针对用户 在特定时间内达到错误的密码尝试次数以后对此用户进行锁定，管理员可以通过设置此功能来更 好的防范字典式的密码猜测的攻击。 在Lotus Domino8.5及以后的版本中，Lotus Domino默认启用了“使用更加安全的因特网密 码”，从而保证在8.5及以后的版本中储存的用户密码是使用了更加安全的加密方式。 基于以上的考虑，IBM建议客户考虑把服务器升级到8.5系列的最新版来更好地确保HTTP密 码具有更高的安全性。 Lotus Domino HTTP 密码安全性的最佳实践 IBM公司非常关注信息安全方面的保护。IBM公司一直致力于给客户提供一套完整的工具来 保护我们客户企业数据的安全。基于这方面的考虑，Domino提供了几种可选的配置来防范甚至完 全消除暴力破解的风险。我们鼓励每一个客户检查系统的相关配置并根据企业的实际情况来选择 最适合自己企业的安全保护配置。 下面是可采用的配置方式及详细的步骤： 1. 严格控制服务器names.nsf的访问权限 在Domino服务器的names.nsf的存取控制列表对话框上，将 Anonymous 设置为“无访问权限”， 将 -default- 设置为“读者”的访问权限 2. 利用“扩展ACL （XACL）”的功能来防止读者读取http散列值（关于如何启用XACL，请参考 附件） 3. 启用更加安全的因特网密码加密方式 打开Domino的names.nsf, 操作菜单 －编辑目录概要文件 – “使用更安全的因特网密码” 域中选择“是”，保存并关闭 请注意： 此设置只针对设置以后所存储的HTTP密码生效，对于原有的个人文档则需要管理员选中个人 文档，操作菜单 –＞ 升级到新的Internet密码格式。 在Domino8.5及以后的版本默认启用了更