Posts Tagged ‘Contraseña’

Tips: Generación de Contraseñas

Wednesday, April 8th, 2009

Uno de los grandes problemas a la hora de generar contraseñas iniciales o reinicializar las mismas está dado por el uso de contraseñas triviales y por las dificultades que nos presenta la generación de contraseñas al azar estándar de SAP.

Sin embargo existen una posibilidad de configuración en el generador de contraseñas, que suele pasar desapercibida a la mayoría de los usuarios, y que se encuentra poco documentada.

Esta configuración se realiza en la tabla PRGN_CUST, en la que pueden definirise los parámetros:

GEN_PSW_MAX_LETTERS

GEN_PSW_MAX_DIGITS

GEN_PSW_MAX_SPECIALS

Respectivamente, para definir el número máximo de letras, dígitos y caracteres especiales que el generador automático de contraseñas (SU01 o SU10) va a utilizar, siempre y cuando no se contradigan con los parámetros definidos  en el perfil del sistema.

Cuando las políticas de la organización así lo permitan, o durante la generación de un número importante de usuarios en una implementación, podría ser útil deshabilitar colocando en 0 (cero) el uso de caracteres especiales para que las nuevas contraseñas no sean complicadas de escribir para los usuarios finales, ya que a veces por defecto SAP suele utilizar caracteres especiales difíciles de repetir en algunas configuraciones de teclado, o por usuarios impacientes ;-)


VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Contraseña, Tips | No Comments »

Parámetros: Mejores prácticas (parte I)

Monday, March 9th, 2009

En un post anterior repasamos el significado de muchos de los parámetros de usuarios vinculados con la seguridad del sistema, ahora vamos a ver cuales son algunos de los valores de los parámetros de SAP que equilibran las posibilidades de uso con la seguridad del sistema, y que muchas veces son requeridos por auditoría de sistemas en sus revisiones sobre el sistema.

Parámetros de restricción a las contraseñas:

login/min_password_lng = Es un parámetro que va a depender mucho de las políticas organizacionales definidas en su empresa, pero puede sugerirse que un valor de 8 es un buen equilibrio entre dificultad de la contraseña y la facilidad del usuario para recordarla.

login/min_password_lowercase = Es recomendable que se exija que al menos un caracter (1) sea en minúsculas, para aumentar la complejidad de la misma

login/min_password_uppercase = idem al anterior, deben estar definidos en conjunto determinando que al menos exista un caracter en minúsculas y al menos uno (1) en maýúsculas para asegurar la complejidad.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)

login/min_password_letters = Similar al caso anterior por lo que es de sugerir que al menos un caracter sea requerido para evitar las contraseñas solo numéricas.

login/min_password_digits = Similar al anterior al menos un (1)caracter debiera ser numérico.

login/min_password_diff = Es de sugerir que se configure este parámetro pero no de manera muy restrictiva porque evitaría que se puedan elaborar nuevas contraseñas. Lo ideal sería definirlo en dos (2) o (1) para evitar las famosas series numéricas progresivas.

login/password_history_size = Aquí es importante definir un número no demasiado alto porque los usuarios van a olvidarse facilmente sus contraseñas. Uno debe luchar entre hacer seguro un sisetma y no pasarse con estas definiciones ya que los usuario terminaran anotando sus contraseñas demasiado innovadoras! Lo ideal sería determinar un número como cinco (5)

login/password_expiration_time = Lo ideal es que la contraseña caduque cada 30 días.

login/password_change_waittime = Lo ideal es definir este valor en al menos un (1) día para evitar que los usuarios fuerzen el cambio de sus contraseñas.

login/password_max_idle_initial = Es importante definirlo evitar que contraseñas queden habilitadas por tiempo indefinido. Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles). Debería ser en el orden de los 3 a 7 días.

login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la política actual.

Es importante recordar que el parámetro login/password_compliance_with_current_policy es el que va a definir si se va a requerir un cambio de contraseña masivo a las que no cumplan con las definiciones establecidas o se va a esperar a la próxima definición de las mismas. Hay que tener cuidado con este parámetro si se ha definido una política inválida y no puede establecerse una contraseña que cumpla con todos los requisitos ya que no nos dejaría ingresar más al sistema por las vías normales.

En el próximo post seguimos con los parámetros no vinculados a contraseñas que faltan.

VN:F [1.8.2_1042]
Rating: 4.0/5 (1 vote cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , ,
Posted in Contraseña | 1 Comment »

Parámetros de Seguridad (Parte II)

Friday, February 20th, 2009

Continuamos la lista que comenzamos a armar ayer con algunos de los últimos parámetros del sistema SAP:

Multiloguin

login/disable_multi_gui_login = Determina si el sistema permite logins desde más de un GUI. (o permite, 1 deshabilita). Es utilizado para evitar riesgos no detectados que un usuario sea utilizado desde más de una terminal, para ahorrar en términos de performance y para evitar problemas de licencias con SAP)

login/multi_login_users = En el se definen separados por comas, las excepciones al parámetro anterior, osea quienes pueden loguearse desde más de un gui independientemente de la definición del otro parámetro.

login/failed_user_auto_unlock = Aquí entre 0 y 1 se define si después de la medianoche los usuarios bloqueados por errores de contraseña se desbloquean automáticamente. Lo recomendable es que esto no suceda a diferencia del valor por defecto de SAP.

login/fails_to_session_end = En este caso se define la cantidad de errores en el ingreso de contraseña hasta que la sesión de un usuario llegué a su fin (pero no se bloquea el usuario, solo se lo desconecta del SAP GUI)

login/fails_to_user_lock = Este parámetro determina la cantidad de errores consecutivos en el ingreso de la contraseña a partir del cual se bloquea el usuario, el cual debe ser desbloqueado por el administrador salvo que el parámetro logins/failed_user_auto_unlock tenga un valor distinto de 0.

Otros parámetros

login/disable_cpic = A partir del mismo se deshabilitan las conexiones por el viejo protocolo CPIC.

login/no_automatic_user_sapstar = Este parámetro deshabilita el usuario harcodeado SAP* con contraseña PASS en caso que se borre el usuario SAP* del maestro de usuarios. (0 habilitado, 1 deshabilita). Para más información ver el artículo:  http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.

rdisp/gui_auto_logout = Mediante este parámetro se determina en segundos la cantidad de tiempo de inactividad antes que se terminé la sesión del usuario (0 deshabilitado)

login/system_client = El mismo define el mandante por defecto que nos aparecerá propuesto.

El presente post y su parte uno fueron una enumeración de los principales parámetros vinculados con la seguridad de SAP, respecto a los valores recomendados probablemente en breve hagamos una entrada nueva en este blog definiéndolos, aunque siempre teniendo en cuenta que es muy personal de cada instalación.

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , , ,
Posted in Contraseña | No Comments »

Parámetros de configuración de Seguridad

Thursday, February 19th, 2009

¿Qué son los parámetros de seguridad en SAP R/3? Es la manera que nos provee el sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de seguridad… y estás últimas son las que más nos interesan.

A través de los mismos podremos definir cosas como el largo de la contraseña, la cantidad de dígitos obligatorios, tiempo de caducidad, entre otras opciones. La configuración de los mismos se hace a través de las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificación dinámica).

En este post estaremos identificando siempre los parámetros con las versiones más actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5 no se encuentren todos los aquí enunciados o tengan modificaciones en sus valores posibles.

Parámetros de restricción a las contraseñas:

login/min_password_lng = El cual permite definir el tamaño mínimo de la contraseña que va desde 3 a 40 (en las versiones más nuevas de SAP, anteriormente solamente hasta 8 )

login/min_password_lowercase = Cantidad mínima de caracteres en mínusculas.

login/min_password_uppercase = Cantidad mínima de caracteres en mayúsculas.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)

login/min_password_letters = Cantidad mínima de caracterés del alfabeto en la contraseña.

login/min_password_digits = Cantidad mínima de dígitos obligatorios en la contraseña (0-9)

login/min_password_diff = Cantidad de caracteres que deben diferenciarse entre la nueva contraseña y la anterior (para cambios de contraseña realizados por el usuario)

login/password_history_size = Cantidad de contraseña guardadas como historial de manera que no puedan repetirse las últimas “n” contraseñas (Mínimo 1 y Máximo 100).

login/password_expiration_time = Cantidad de tiempo definida en días que transcurre antes que expiré la contraseña del usuario y el sistema solicite un cambio de la misma. (el valor mínimo es 0 que significa sin caducidad y 1000)

login/password_change_waittime = Cantidad de días que deben transcurrir antes que el usuario pueda cambiar por sus propios medios nuevamente una contraseña. (Es para impedir que se evite el control de historial de contraseñas cambiando numerosas veces una misma contraseña)

login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la política actual.

login/password_max_idle_initial = Máximo número de días que la contraseña definida por el administrador (inicial) puede permanecer habilitada para que el usuario la utilice. (0 a 1000). Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles)

login/password_max_idle_production = Similar al anterior pero aplicable a los cambios realizados por los mismos usuarios.

login/disable_password_logon = Permite desactivar el logueo por contraseña si se utiliza otro medio como ser SSO o SNC, para acceder al sistema.

login/password_logon_usergroup = Grupo de usuarios que podrá loguearse con contraseña a pesar de haber usado el parámetro login/disable_password_logon.

login/password_change_for_SSO = Define el comportamiento de la solicitud de cambio de contraseñas para sistemas con SSO (o a 3)

Estos son los parámetros de definición de las contraseñas que tiene SAP, en el próximo post vamos a incluir los respectivos a logueo de errores de logon, multilples loguins y otros varios.

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , , ,
Posted in Contraseña | No Comments »