Salve! Posso darti maggiori informazioni
o rispondere a qualche domanda?
Come possiamo esserti utili?
Seleziona uno dei nostri esperti
Alberto Bedin
Supporto Commerciale
Sono online
Luisa Soranno
Supporto Commerciale
Sono online

Portare le proprie applicazioni IBMi sul web è bello ed efficace con i prodotti bigblue però di pari passo crescono le esigenze per la sicurezza. Spesso molti utenti iSeries usano password corte oppure non tengono conto delle più elementari limitazioni per prevenire password inadatte come 12345, pippo5 ecc. Grazie ai miglioramenti nel mondo iSeries, si possono impostare le password degli utenti in modo che siano più simili a quelle sicure utilizzate su altri sistemi. Bisogna tenere presente che serve a poco avere un sistema intrinsecamente sicuro se poi le password possono essere facilmente identificate, dimenticando che sono una porta di accesso a tante funzioni di sistema. Usando i valori di sistema "QPWDLVL e QPWDRULES" si può alzare con facilità il livello di sicurezza delle password utenti, rendendole compatibili con eventuali security request e realizzare la predisposizione per un SSO (Single Sign-On) ed un EIM (Enterprise Identity Mapping). Analizziamo QPWDLVL: Di solito, è ricevuto impostato al default di 0 (zero) che vede l'utilizzo di una password non case-sensitive lunga al massimo 10 caratteri. Se andiamo a verificare sull'Help del valore di sistema, è possibile notare che lo si può impostare ad 1 (che non è utile per quello che vogliamo noi) 2 oppure 3. Se lo impostiamo a 2 ( che dovrebbe essere il default da utilizzare) consentiamo l'inserimento di password lunghe fino a 128 caratteri (ovvero una passphrase) dando una distinzione tra maiuscole e minuscole, ma con una maggiore libertà di inserimento. Il passaggio tra livello 0 e livello 2 non da particolari difficoltà. Nel momento in cui la password viene modificata, il sistema genera in automatico una coppia di password per il livello 2 ( una tutta in maiuscolo ed una tutta in minuscolo), quindi l'utente dopo il passaggio da 0 a 2, può collegarsi con la vecchia password e cambiarla usando le opzioni standard. Prima di cambiare il livello, è possibile adottare il comando PRTUSRPRF TYPE(*PWDLVL), per effettuare la verifica di utenti che siano privi di password di livello 2. A questo punto, consiglio anche un controllo con il comando ANZDFTPWD (Analyze Default Passwords), che consente di verificare se un utente ha ancora la password di default (uguale al nome utente) per poi impostare l'utente come disabilitato o "forzare" un cambio della password all'accesso successivo. Cliccando su questo link https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_61/rzarl/rzarlplanpwdchg.htm troverai una guida esauriente di IBM, che approfondisce il cambio del valore di sistema sia in "salita" ( da 0 a 2), che in senso inverso (non consigliato). Il cambio di questo valore di sistema richiede un IPL prima di entrare in funzione. Vediamo ora il secondo valore: QPWDRULES che IBM ha silentemente introdotto dalla v6r1m0. Nelle release precedenti, il controllo delle password (presenza di numeri, caratteri ripetuti ecc.) era ripartito su vari valori di sistema: QPWDLMTAJC - Limite cifre adiacenti par. ordine QPWDLMTCHR - Limite caratt. par. d'ordine QPWDLMTREP - Limite caratt. ripet. parola d'ordine QPWDMAXLEN - Lungh. mass. par. ord. QPWDMINLEN - Lungh. min. par. d'ordine QPWDPOSDIF - Limite posiz. caratt. par. d'ordine QPWDRQDDGT - Rich. cifre in par. ord. L'aumento del bisogno di maggiore sicurezza, ha reso necessario identificare un numero maggiore  di parametri da controllare. Prima era necessario utilizzare un programma di validazione collegato al valore di sistema QPWDVLDPGM, che però generava problemi di sicurezza perché riceveva le passwords in chiaro, ma IBM dalla v6r1m0 ha reso disponibile un singolo valore di sistema " QPWDRULES"che non solo permette di definire in un solo punto tutti i parametri di validazione della password, ma permette anche di gestire gli aggiornamenti futuri. Il valore di sistema è dato con il valore di default *PWDSYSVAL, che indica al sistema di utilizzare i vecchi valori. Si può cambiare tale valore con una serie di valori che formano una griglia di validazione delle password, che risulta molto più personalizzata di quanto fosse possibile prima. Cliccando al seguente link troverete i parametri, il loro significato, le limitazioni ed interazioni. https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_61/rzarl/rzarlpwdrules.htm Nella tabella seguente vedremo insieme quali sono i parametri più interessanti e consigliati: Valore Significato *MINLENnnn Lunghezza minima della password. Equivale al ‘vecchio’ QPWDMINLEN. Ricordarsi che non impostarlo equivale a lasciare la lunghezza minima ad 1 *MAXLENnnn Lunghezza massima parola d’ordine. Equivale al ‘vecchio’ QPWDMAXLEN. Se non impostato, equivale alla lunghezza massima della password in base al valore di QPWDLVL. *REQANY3 La parola d'ordine deve contenere caratteri di almeno tre dei seguenti quattro tipi di caratteri.

  • Lettere maiuscole
  • Lettere minuscole
  • Cifre
  • Caratteri speciali

*LMTPRFNAME La parola d'ordine non può contenere il nome profilo utente in posizioni consecutive. (es. se profilo utente JOHNB, allora JohnB78 non e’ valida come password) *LMTSAMPOS Lo stesso carattere non può’ essere usato nella stessa posizione nella precedente password. Equivale al ‘vecchio’ QPWDPOSDIF. *LTRMINn Numero minimo di caratteri alfabetici (lettere) presenti *DGTMINn Numero minimo di cifre *SPCCHRMINn Numero minimo di caratteri speciali. Un carattere speciale e’ un carattere che non e’ ne’ una lettera ne’ un numero. *MIXCASEn Numero minimo di lettere maiuscole e minuscole che devono essere presenti nella password. Se lo imposto a 2, ad esempio, devo avere almeno 2 lettere maiuscole e 2 lettere minuscole nella password. Una lista di valori valida può’ essere ad esempio: *MINLEN8 Lunghezza minima 8 *LMTSAMPOS Non usare lo stesso carattere della precedente password nella stessa posizione *MIXCASE2 Almeno 2 lettere maiuscole e 2 lettere minuscole *DGTMIN1 Almeno un carattere numerico *SPCCHRMIN1 Almeno un carattere speciale *LMTPRFNAME Non deve contenere il nome del profilo. Da queste basi, si possono aggiungere  personalizzazioni in base alle proprie esigenze di sicurezza. Concludendo, possiamo osservare come IBM nonostante la sicurezza intrinseca del sistema, desideri mantenere alto anche il livello di sicurezza perimetrale, offrendo la possibilità di essere allineati con facilità, alle crescenti richieste di security aziendali.

iscriviti alla nostra newsletter

(se hai più interessi devi iscriverti più volte)

La nostra task force è a tua disposizione per proporti la soluzione GDPR ai massimi livelli

inoltre avrai informazioni, videocorsi, ebooks e informazioni sempre fresche