Парольная политика

Зона ответственности: Printum + Заказчик / Интегратор 
 Коротко: Printum поддерживает настраиваемую парольную политику для локальных пользователей системы. Администратор может управлять требованиями к сложности паролей, сроками их действия, историей использования, блокировкой пользователей и параметрами пользовательских сессий. 
 Требование 
 Система должна обеспечивать контроль требований к паролям пользователей, предотвращать использование слабых паролей и обеспечивать защиту учётных записей от несанкционированного доступа. 
 Парольная политика позволяет реализовать требования организации к сложности паролей, срокам их действия и процедурам управления учётными записями пользователей. 
 Как это реализовано в Printum 
 Для локальных пользователей Printum поддерживает настраиваемые парольные политики. 
 Администратор может создавать несколько парольных политик и назначать их отдельным пользователям, группам пользователей или подразделениям. 
 В рамках парольной политики могут настраиваться: 
 
 минимальная длина пароля; 
 минимальное количество букв; 
 минимальное количество цифр; 
 минимальное количество специальных символов; 
 срок действия пароля; 
 период обязательной смены пароля; 
 период запрета повторной смены пароля; 
 максимальное количество неудачных попыток аутентификации; 
 период блокировки после неудачных попыток входа; 
 период блокировки неактивных пользователей; 
 количество ранее использованных паролей, запрещённых к повторному использованию; 
 период, в течение которого ранее использованные пароли считаются уникальными; 
 требование смены пароля при первом входе в систему; 
 запрет последовательностей одинаковых символов; 
 запрет цифровых и алфавитных последовательностей; 
 запрет использования визуально похожих символов («I», «l», «1»). 
 
 Printum поддерживает хранение истории паролей и может запрещать повторное использование ранее применявшихся паролей. 
 При изменении парольной политики пользователи, чьи пароли перестали соответствовать новым требованиям, могут быть обязаны сменить пароль при следующем входе в систему. 
 Для защиты учётных записей поддерживается автоматическая блокировка пользователя после заданного количества неуспешных попыток аутентификации. 
 Также поддерживается автоматическая блокировка пользователей, не использовавших систему в течение установленного периода времени. 
 Хранение паролей 
 Пароли пользователей не хранятся в открытом виде. 
 Для хранения паролей используются стандартные механизмы Django на основе алгоритма PBKDF2 с HMAC-SHA256 и индивидуальной криптографической солью для каждого пароля. 
 В процессе аутентификации система выполняет проверку хэша пароля без хранения или передачи пароля в открытом виде. 
 Что требуется от инфраструктуры 
 При использовании локальной аутентификации параметры парольной политики определяются администраторами Printum. 
 При использовании доменной аутентификации, LDAP, Active Directory, Kerberos или SAML требования к паролям, срокам их действия и блокировке пользователей определяются соответствующей службой аутентификации организации. 
 Ограничения и особенности 
 Парольная политика применяется только к локальным пользователям Printum. 
 Для пользователей, аутентифицируемых через внешние службы каталогов или системы единого входа, требования к паролям определяются средствами соответствующей инфраструктуры.