...
Yksi keskeisiä asioita käyttäjän tunnistuksessa on salasana. Muussa kuin automaatiojärjestelmässä itse automaatiojärjestelmässä on ehdottoman tärkeää että käyttäjien salasanat a.) vanhenevat riittävän usein, b.) vaaditaan riittävän monipuolinen salasana. Nämä molemmat toiminnot ovat hallinnoitavissa salasanoja ylläpitävän palvelun asetuksissa.
Sääntöjä riittävän turvallisen salasanan määrittämiseksi:
- käyttäjän salasanan tulee vaihtua riittävän usein (pakotettu salasanan vaihto)
- käyttäjätunnusten tulee olla henkilökohtaisia ja yksilöllisiä; esimerkiksi isoja ja pieniä merkkejä sekä kirjaimia
- salasanalla tulee olla vähimmäispituus ja sen tulee sisältää määritellyt merkit
- saman salasanan uudelleenkäyttö tulee estää, salasanaa vaihtaessaan käyttäjä ei saa asettaa uudelleen jo kertaalleen järjestelmässä käyttämäänsä salasanaa
Automaatiojärjestelmät ovat huomattavasti suljetumpia järjestelmiä kuin julkisessa verkossa tai siihen kytköksissä olevat työasemat, esimerkiksi toimiston työasemat. Näinollen automaatiojörjestelmissä automaatiojärjestelmissä usein näkee käytetättävän käytetään yhteisiä ylläpito yms salasanoja yksilöllisten salasanojen ja tunnusten sijaan. Ratkaisu on toisaalta ymmärrettävä järjestelmän luonteen kannalta ja sen kannalta mutta toisaalta se asettaa haasteita tietoturvan suhteen koska yhteisillä tunnuksilla on varsin hankala jäljittää, kuka teki ja mitä ongelman sattuessa. Toisaalta automaatiojärjestelmien käyttäjähallintaa suunniteltaessa tulee varmistaa että salasanapolitiikka ei missään tilanteessa lukitse ylläpitäjää ulos järjestelmästä.
...
Tapoja käyttäjätunnusten ja salasanojen hallintaan on useita mutta automaatiomaailmassa yksi yleisimmjistä yleisimmistä on Microsoftin kehittämä Active Directory. Rakenteeltaan AD on järjestelmä joka käyttäjätunnusten lisäksi sisältää tietoa verkon resursseista sekä verkkoon kytketyistä laitteista.
Käyttäjänhallintaan liittyviä keskeisiä ehtoja ja suosituksia
Koska käyttäjänhallinnalla on monissa tuotantolaitoksissa keskeinen rooli käyttäjien verkkokäyttäytymisen ja pääsyn määrittelyssä, käyttäjänhallintaa suunniteltaessa tulee huomioida ainakin seuraavat seikat, osa jo listattukin yllä:
- riittävä salasanapolitiikka
- järjestelmän tulee automaattisesti poistaa tai vähintään deaktoivoida säännöllisesti käyttämättömät käyttäjätunnukset
- järjestelmissä tulee käyttä mahdollisimman suppeita käyttäjätunnuksia jatkuvasti käytössä oleville sovelluksille
- etuoikeutettujen käyttäjien kuten ylläpitäjä määrä tulee pitää mahdollisimman pienenä
- mahdolliset järjestelmän luomat oletus-käyttäjätunnukset tulee vähintään poistaa käytöstä
- käyttöoikeudet tulee määritellä mahdollisimman suppeiksi, ei ylimääräisiä käyttöoikeuksia; ennemmin luodaan useampia rooleja kuin annetaan käyttöoikeuksia niitä tarvitsemattomille ryhmien jäsenille