Contraseñas fuertes
Requerir contraseñas fuertes
Por omisión, MDaemon requiere de contraseñas fuertes al crear cuentas nuevas o modificar contraseñas existentes. Deshabilite la casilla si desea eliminar este requerimiento.
Las contraseñas fuertes deben:
•Cumplir con la longitud mínima requerida
•Contener mayúsculas y minúsculas
•Contener letras y números.
•Contener un caracter especial (si se habilita la opción de caracteres especiales abajo)
•No contener el nombre del usuario o de su buzón
•No encontrarse en el archivo de contraseñas prohibidas
Longitud mínima de la contraseña (por lo menos 8 caracteres)
Utilice esta opción para definir la longitud mínima requerida para las contraseñas fuertes. Este se debe establecer en al menos 6 caracteres, pero se recomienda un valor mayor. El valor por omisión en instalaciones nuevas de MDaemon es de 10 caracteres. Si modifica esta opción no se detona automáticamente un requerimiento de cambio de contraseña para las contraseñas que no cumplan con el nuevo mínimo, pero cuando esos usuarios modifiquen su contraseña, se aplicará esta política.
|
Sin importar el mínimo establecido, las contraseñas pueden ser mayores de 72 caracteres cuando se habilita la opción "Almacenar contraseñas de buzón utilizando encriptación no-reversible". Si esa opción está deshabilitada, las contraseñas no podrán ser mayores de 15 caracteres. |
Las contraseñas deben contener un caracter especial
Por omisión, para instalaciones nuevas de MDaemon, se requieren contraseñas fuertes conteniendo al menos uno de los siguientes caracteres especiales: !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~. Deshabilite esta opción si no desea requerir caracteres especiales en las contraseñas fuertes.
Editar el archivo de contraseñas prohibidas
Dé clic en este botón para editar el archivo de contraseñas prohibidas. Los registros enlistados aquí son sensibles a mayúsculas/minúsculas y no se pueden utilizar como contraseñas. Si desea generar registros más complejos o versátiles, puede utilizar Expresiones Regulares para hacerlo. Los registros que inician con "!" son tratados como Expresiones Regulares
Forzar el cambio de contraseñas débiles
Dé clic en este botón si desea forzar a todas las cuentas que tengan contraseñas débiles, a cambiarlas. Con esto se bloqueará a toda cuenta que tenga una contraseña débil hasta que la contraseña se modifique. La contraseña se puede modificar por el administrador vía la interface de MDaemon o un usuario bloqueado la puede modificar vía Webmail o la interface de administración remota. Cuando el usuario intente ingresar utilizando la contraseña anterior, se le requerirá crear una nueva antes de proceder. Nota: Esta opción no está disponible cuando se utiliza la opción de abajo "Almacenar contraseñas de buzón utilizando encriptación no-reversible".
Reportar contraseñas débiles
Dé clic en este botón para generar un reporte de todas las cuentas de MDaemon con contraseña débil. El reporte será enviado por correo a la dirección de correo que usted especifique luego de dar clic en OK. Nota: Esta opción no está disponible cuando se utiliza la opción de abajo "Almacenar contraseñas de buzón utilizando encriptación no-reversible".
Ajustes de Contraseña
Las contraseñas expiran luego de este número de días (0=las contraseñas nunca expiran)
Utilice esta opción si desea establecer un número máximo de días que una cuenta se puede utilizar antes de requerir que modifique su contraseña. El valor por omisión en esta opción es "0", lo que significa que las contraseñas nunca expiran. Pero si lo configura a, por ejemplo, 30 días, entonces el usuario tendrá 30 días para modificar su contraseña, iniciando a partir de la última vez que se haya modificado la contraseña. Por esto, cuando establezca inicialmente el valor de expiración, cualquier cuenta con contraseña que no haya sido modificada dentro del número de días especificado, tendrá su contraseña expirada de inmediato. Cuando expire la contraseña del usuario, no tendrá acceso vía POP, IMAP, SMTP, Webmail o Administración Remota. El usuario puede, sin embargo, conectarse a Webmail o a la Administración Remota donde se le requerirá que modifique la contraseña antes de proceder. Los clientes de correo tales como Outlook, Thunderbird y similares, no pueden utilizarse para modificar la contraseña. Más aun, muchos clientes ni siquiera mostrarán algún mensaje de ayuda a los usuarios, por lo que puede ser que requieran ayuda del administrador para saber por qué su contraseña está fallando.
|
Con el fin de que los usuarios puedan modificar sus contraseñas vía Webmail o Administración Remota, primero deben tener permisos en la opción "...editar contraseña" de la pantalla Servicios Web. Además, dado que modificar la contraseña puede no ser fácil o posible para algunos usuarios, deberá tener cuidado antes de utilizar esta opción. |
Avisar a los usuarios sobre el vencimiento de su contraseña diariamente durante [xx] días (0 = nunca)
Las cuentas cuya contraseña está a punto de expirar, pueden recibir un recordatorio diario de que esto va a suceder y necesitan cambiarla. Utilice esta opción para definir el número de días previos a que expire la contraseña, que desea que MDaemon empiece a enviar estos mensajes.
Recordar este número de contraseñas anteriores (0=ninguna)
Utilice esta opción para especificar el número de contraseñas anteriores que quiera que MDaemon recuerde para cada usuario. Cuando os usuarios modifiquen sus contraseñas, no les permitirá utilizar las anteriores. Esta opción se encuentra deshabilitada por omisión con el valor "0".
Almacenar contraseñas de buzones utilizando encriptación no reversible
Marque esta casilla si desea que MDaemon almacene las contraseñas utilizando encriptación no-reversible. Esto impide que las contraseñas sean desencriptadas por MDaemon, el administrador o un posible atacante. Para hacer esto, MDaemon utiliza la función de hashing de contraseñas bcrypt, que permite manejar contraseñas más largas (hasta 72 caracteres) y permite que las contraseñas se preserven pero no sean reveladas al importar o exportar el catálogo de cuentas. Sin embargo, algunas funcionalidades no son compatibles con esta opción, tal como la detección de contraseñas débiles y la autentificación APOP & CRAM-MD5, porque dependen de que MDaemon pueda desencriptar las contraseñas. Las contraseñas no reversibles están habilitadas por omisión.
Contraseñas Comprometidas
MDaemon puede validar las contraseñas de usuario contra una lista de contraseñas comprometidas perteneciente a un servicio de terceros. Lo puede hacer sin transmitir la contraseña al servicio y si ésta se encuentra en la lista, esto no significa que la cuenta haya sido hackeada. Significa que alguien en algún lugar ha utilizado como contraseña la misma cadena de caracteres y esta ha aparecido en una brecha de datos. Las contraseñas publicadas pueden ser utilizadas por los hackers en ataques de diccionario, en cambio contraseñas únicas que nunca se han utilizado en otro lugar son más seguras. Ver Contraseñas para más información.
No permitir contraseñas que se encuentren en la lista de terceros de contraseñas comprometidas
Marque esta casilla si no desea permitir que se configure las contraseñas de las cuentas utilizando alguna que se encuentre en la lista de contraseñas comprometidas.
Verificar contraseñas comprometidas al inicio de sesión y envíe mensaje de advertencia cada [xx] días (0 = nunca)
Con esta opción, se puede verificar automáticamente la contraseña de cada usuario contra la lista de contraseñas comprometidas, cada cierto número específico de días, cuando el usuario inicia sesión. Si se está utilizando una contraseña comprometida, se enviará un mensaje de advertencia a la cuenta y al postmaster. Los mensajes de advertencia se pueden personalizar editando el archivo de plantilla de mensajes en la carpeta \MDaemon\App. Dado que las instrucciones para cambiar la contraseña pueden cambiar dependiendo de si la cuenta está utilizando una contraseña almacenada en MDaemon o con autentificación Active Directory, se cuenta con dos archivos de plantilla: CompromisedPasswordMD.dat y CompromisedPasswordAD.dat. Se pueden utilizar Macros para personalizar el mensaje, cambiar el asunto, cambiar los destinatarios y demás.
Contraseñas de Apps
Contraseñas de Apps es una opción que se puede utilizar para hacer las cuentas más seguras creando contraseñas muy fuertes, generadas aleatoriamente para ser utilizadas solamente en clientes de correo y en apps de correo, dado que esas apps no pueden asegurarse con Autentificación de Dos Factores (2FA). Ver: Contraseñas de Apps.
Habilitar contraseñas de apps
Todos los usuarios pueden crear por omisión Contraseñas de Apps para sus cuentas, al iniciar sesión en Webmail utilizando Autentificación de Dos Factores. Si desea deshabilitar el soporte a Contraseñas de Apps para un usuario en particular, lo puede hacer en la opción ...editar contraseñas de apps en la página de Servicios Web del usuario.
Requerir Autentificación de dos Factores para configurar contraseñas de apps
Por omisión, los usuarios deben iniciar sesión en Webmail utilizando Autentificación de Dos Factores (2FA) con el fin de crear una nueva Contraseña de App. No se recomienda deshabilitar este requerimiento. Los Administradores Globales están exentos de este requerimiento en MDRA, pero se recomienda que siempre utilicen 2FA al iniciar sesión en MRDA o en Webmail.
Eliminar contraseñas de apps cuando se modifica la contraseña de la cuenta
Por omisión, cuando se modifica la contraseña de una cuenta, todas las contraseñas de apps se eliminan y se requiere que el usuario genere nuevas si desea utilizarlas o se le requiere que las utilice si lo define el ajuste "Requerir contraseñas de apps..." (ver nota abajo).
|
Existe una opción de cuenta en la página Ajustes del Editor de Cuentas que puede utilizar para "Requerir contraseña de app para iniciar sesión en SMTP, IMAP, ActiveSync, etc." Requerir Contraseñas de Apps puede ayudar a proteger la contraseña de una cuenta de ataques de diccionario y fuerza bruta vía SMTP, IMAP, etc. Esto es más seguro porque aún si un ataque de este tipo adivinara la contraseña de la cuenta, no funcionaría y el atacante no lo sabría, dado que MDaemon solo aceptará la Contraseña de App correcta. Adicionalmente, si sus cuentas en MDaemon utilizan autentificación con Active Directory y Active Directory bloquea las cuentas luego de un número de intentos fallidos, esta opción puede impedir que se bloqueen las cuentas, dado que MDaemon solo verificará las Contraseñas de apps y no intentará autentificar con Active Directory. |
Ver:
Editor de Cuentas » Detalles de Cuentas
Editor de Cuentas » Servicios Web
Editor de Cuentas » Contraseñas de Apps
