Kennwort reset über PasswordResetSample

  • Hallo,


    wir verwenden die Default DB, um Benutzer ihre Dominopasswörter selbst ändern zu lassen. Nachdem das per Web erfolgreich durchgeführt wurde und sich der User an seinem Client anmeldet, kommt dennoch wieder die Meldung: Seit ihrer letzten Anmeldung wurde ihr Kennwort zurückgesetzt. Sie müssen ein neues Kennwort vergeben.

    Erst wenn er da sein Kennwort auf ein neues nochmal geändert hat, kann er Notes starten.


    Wieso soll der User ein 2. Mal die Änderung durchführen? Es ist in keiner Policy so eingestellt.


    Viele Grüße!

  • Die Anwendung trägt aus gutem Grund den Titel "Password Reset" und nicht "Password Change". Ein Kennwort zurückzusetzen ist eine völlig andere Maßnahme als ein Kennwort einfach nur zu ändern.


    Eine "normale" Passwortänderung kann nur jemand vornehmen, der

    - über einen Zugang verfügt

    - das bisherige Kennwort kennt (!)

    - sich zuerst (mit diesem Kennwort) authentifiziert hat

    - das neue Kennwort den (zentralen oder in der ID vermerkten) Kennwortregeln entspricht

    - eine im verwendeten Client dafür technisch vorgesehene Methode zur Änderung verwendet

    Weitere Besonderheiten/Einschränkungen sind hierbei durch ID-Vault, Policies und verwendeten Client möglich.


    Das Zurücksetzen eines Passworts können hingegen alle (technisch) speziell berechtigte Autoritäten auslösen, wenn dies (organisatorisch) erforderlich ist.

    - auch ohne Kenntnis des bisherigen Kennworts

    - im Zweifel gegen den Willen/die Kenntnis des Nutzers (!)

    - das temporäre Kennwort unterliegt nicht den normalen Kennwortregeln (!)

    - das Zurücksetzen ist ohne ggf konfigurierte 2FA möglich - eine anschließende Anmeldung hingegen nicht

    Es wird also technisch und organisatorisch berechtigten Personen (oder Diensten, wie z.B. einem Agenten in einer Anwendung) die Möglichkeit gegeben, ein nicht bekanntes durch ein bekanntes Kennwort zu ersetzen. Bei der ersten Benutzung wird der Eigentümer aber aus gutem Grund gezwungen, sich selbst ein - nur ihm bekanntes - Passwort zu vergeben, das dann wieder allen oben aufgeführten Regeln entspricht.


    Kurzfassung:

    Works as designed.


    HTH

    Carsten

  • Hallo,


    danke für die ausführliche Erklärung!

    Wir handhaben es so, dass der User beim 1. Step ein temporäres Kennwort erhält, sich damit am Domino an der Reset-Datenbank anmeldet und dann in der Maske der ResetDatenbank sich selbst ein neues Kennwort vergibt.


    Somit wären die Kriterien gegeben, damit er ein PW Change durchführen kann. Und dennoch wird beim Starten des Notesclients die Meldung ausgegeben.


    Sind da vielleicht bestimmte Zeiten einzuhalten, dass die Änderung des Userkennwort erst später erfolgen muss oder der Zugriff auf den Client?

  • Aus der Erklärung erschließt sich für mich nicht, wie und durch wen der Nutzer im 1. Schritt ein temporäres PW erhält.

    Ich rate mal, dass ein Admin/Hotline-MA einfach das HTTP-PW im Personendokument ändert damit der Nutzer anschließend in die Reset-DB kommt.

    Das mag für euch als Workaround (anstelle einer echten zweiten Authentifizierung für HTTP per Verzeichnisverwaltung) vielleicht funktionieren aber ändert nichts daran, dass das nichts mit dem zuvor beschriebenen temporären Passwort zu tun hat. Ihr nutzt simpel eine Lücke im Design. Genauso könnte ein Admin auch gleich ein temporäres PW mit seinem Admin-Client über den ID-Vault vergeben und dem Nutzer den Umweg über die Reset-DB komplett ersparen.


    Die Vorgehensweise bleibt trotz eures "Tricks" unverändert: mit Hilfe des Agents in der Reset-DB wird immer nur ein temporäres PW generiert. Keine Ausnahmen.


    Die Reset-DB macht nur dann als echte Self-Service-DB Sinn, wenn eben kein Admin für den ersten Schritt benötigt wird.


    HTH

    Carsten