O objetivo desta funcionalidade é adequar as regras de acesso ao produto às boas práticas de mercado em relação à segurança de acesso ao software, atendendo parcialmente as especificações da ANVISA e da lei Sarbanes-Oxley (SOX).
Matriz de Evolução
| Versão / Release | Funcionalidade |
|---|---|
| 12.1.5 |
|
Navegadores Suportados
| Navegadores | Observação |
|---|---|
| Chrome | Versões mais recentes do chrome são suportados. |
| Internet Explorer | A partir da versão 9 (Deverá também ser verificado as configurações do modo de exibição de compatibilidade ). |
| Firefox | Versões mais recentes do firefox são suportados. |
| Opera | Versões mais recentes do opera são suportados. |
Vídeos relacionados
Índice
Para ativar estas funcionalidades, deverá ser alterado o arquivo de propriedades do Datasul, o datasul_framework.properties. Este arquivo está localizado no diretório do servidor JBoss. Neste arquivo deverá ser acrescentada uma nova propriedade com o nome access.security.active e atribuir um valor logico indicando se as novas regras de segurança devem ser habilitadas. Caso a propriedade não esteja declarado no arquivo datasul_framework.properties, o Datasul assumira o valor false como padrão. Para ativar as funcionalidades atribua o valor true a propriedade, conforme abaixo.
Todas as configurações relativas ao processo de autenticação e política de senhas estão disponíveis no aplicativo Parâmetros de Segurança Avançada (sec/sec000zd.r), conforme ilustrado na Figura 1.
Figura 1 - Parâmetros de Segurança Avançada
Habilita mínimo de caracteres – possibilita a parametrização da quantidade mínima de caracteres para uma senha.
Proíbe senha Igual ao Código do Usuário – permite o bloqueio da utilização de senha igual ao usuário. Exemplo: usuário super e senha super.
Habilita histórico de senhas – ao habilitar este parâmetro, será mantido um histórico de senhas cujo proposito é evitar a reutilização em futuras trocas de senha. Boas práticas de segurança restringem a repetição das 10 últimas senhas, mas este limite pode ser parametrizado pelo administrador de acordo com a política de segurança da empresa. É importante ressaltar que as senhas são ser armazenadas em um formato de criptografia irreversível, utilizando o mesmo mecanismo de segurança atual (SHA-1 e MD5).
Habilita exigir senha alfanumérica – também é possível parametrizar o formato da senha utilizando composição de grupos de caracteres. Os grupos de caracteres possíveis são alfabéticos, numéricos e especiais. Boas práticas de segurança indicam a utilização de ao menos 3 grupos de caracteres. A quantidade de grupos será indicada no campo Número mínimo de conjuntos de caracteres.
Habilita numero permitido de tentativas mal sucedidas de login – oferece a possibilidade de determinar quantas vezes um usuário pode realizar tentativas de login antes de ter o seu acesso ao produto bloqueado.
Habilita tempo antes de permitir novo acesso do usuário (minutos) – oferece duas possibilidades para o bloqueio do usuário ao alcançar a quantidade limite de tentativas de acesso: i) o login do usuário será bloqueado por tempo indeterminado e somente poderá ser desbloqueado mediante a liberação pelo administrador; ou ii) o login do usuário permanecerá bloqueado por um determinado período de tempo, definido em minutos. A configuração deste campo determina a ativação da segunda opção (bloqueio por período de tempo).
Senha expirada – oferece duas opções quando a senha do usuário expira: i) impede o login ou ii) solicita a alteração da senha no momento do login.
No acesso ao produto ao produto, temos duas possibilidades: login autorizado ou não autorizado.
Autorizado - um login é bem sucedido quando o usuário informa corretamente o login e a senha do produto. Neste caso, o sistema permite o acesso do usuário, exibe as informações do login anterior a este (data, hora e IP) e armazenará as informações do novo acesso para consultas futuras. Na Figura 2 é possível verificar como as informações serão exibidas.
Figura 2 - Tooltip com informações sobre o ultimo login do usuário.
Não autorizado - Um login mal sucedido ocorre quando o usuário informa uma senha incorreta. Quando esta situação ocorrer, o sistema torna-se capaz de impedir que o usuário continue tentando realizar o acesso após uma determinada quantidade de tentativas falhas consecutivas.Na Figura 3 é possível verificar a mensagem informativa indicando ao usuário quantas tentativas antes do bloqueio do login lhe restam.
Figura 3 - Mensagem indicando quantas tentativas de login são possíveis antes do bloqueio.
A quantidade de vezes que o usuário pode tentar realizar o acesso quando informada uma senha inválida, bem como a ação a ser tomada quando essa quantidade for atingida, devem ser parametrizadas nos Parâmetros de Segurança Avançada, conforme item Configuração deste documento.
Ainda conforme item Configuração, são duas as possibilidades para o bloqueio do usuário: o login será bloqueado e somente poderá ser desbloqueado solicitando a liberação para a equipe de TI, Figura 4, ou o login do usuário permanecerá bloqueado por um determinado período de tempo, Figura 5.
Figura 4 - Login bloqueado por tempo indeterminado
Figura 5 - Login bloqueado temporariamente
Uma observação importante: todos os pontos onde são informados o usuário e senha seguem as mesmas regras. Sendo assim, o usuário pode ter sua senha bloqueada em um login intermediário ou em uma troca de senha, Figura 6 e Figura 7.
Figura 6 - Validação de senha na opção Troca Senha
Figura 7 - Validação de senha no login intermediário
Veja a seguir o diagrama de atividades que indica o fluxo da autenticação de usuário:
Na alteração de senhas o produto irá utilizar toda a parametrização realizada na tela Parâmetros de Segurança avançada para controlar a confecção de senhas pelo usuário. O sistema exibe mensagens informativas para cada regra não seguida no momento da digitação da nova senha, conforme as figuras abaixo.
Figura 8 - Quantidade de caracteres inferior à minima parametrizada
Figura 9 - Quantidade de conjuntos de caracteres inferior à minima parametrizada
Figura 10 - Senha igual ao código do usuário
Figura 11 - Senha já utilizada
Foi criado um relatório para que sejam consultados os dados de tentativa de login. Nele são exibidas as informações do usuário, data, hora, ip da maquina que realizou o login e se o login fou autorizado ou não. O relatorio esta diponivel em Foundation > Segurança > Relatorios > Relatorio para exibição de log de acesso. Nas ilustrações Figura 12 e Figura 13 podemos observar o programa com os parâmetros para geração e o relatório gerado, respectivamente.
Figura 12 - Parâmetros para geração do relatório log de acesso
Figura 13 - Layout do relatório log de acesso
Foi implementado um ponto de UPC¹ no login. O ponto de entrada foi adicionado antes da autenticação, a fim de evitar possíveis falhas de segurança quando da execução de programas de usuários após a autenticação.
As regras para política de senha e de acesso foram implementadas utilizando técnicas de BO/API, por isto é necessária a ativação do AppServer para utilizar as novas funcionalidades do produto.
[1] UPC - User Program Call, é uma interação com um programa do Datasul 12. A TOTVS disponibiliza pontos de chamadas dentro de seus programas. Nesses pontos entram as UPC´s possibilitando alterar as características padrões dos programas do ERP Datasul 12.
