Механизм проверки пароля по списку скомпрометированных паролей

Данная статья является анонсом новой функциональности.
Не рекомендуется использовать содержание данной статьи для освоения новой функциональности.
Полное описание новой функциональности будет приведено в документации к соответствующей версии.
Полный список изменений в новой версии приводится в файле v8Update.htm.

Планируется в версии 8.3.26

По просьбам партнеров и клиентов в версии 8.3.26 будет добавлен механизм проверки пользовательских паролей по списку скомпрометированных паролей.

В окно «Дополнительные настройки аутентификации» (в режиме Предприятия и в режиме Конфигуратора) будет добавлена секция «Проверка раскрытия пароля»:

Доступные опции:

• Использовать стандартный список проверки раскрытия пароля. Платформа будет содержать в себе базу со «слабыми» паролями, которая позволяет с минимальной настройкой добиться значительного улучшения безопасности, проверяя пароли пользователей по этой базе.
• Использовать заданный список проверки раскрытия пароля. Можно загрузить список скомпрометированных паролей из файла.
• Использовать сервис проверки раскрытия пароля. Можно использовать внешний сервис для получения списка скомпрометированных паролей, как публичный сервис (например, Have I Been Pwned), так и свой собственный. Пример реализации такого сервиса на базе платформы 1С:Предприятие будет опубликован на ИТС.

Также будет изменено окно «Параметры информационной базы». Будут добавлены параметры «Проверка раскрытия паролей пользователей» и «Действие при несоответствии паролей пользователей требованиям аутентификации»:

Чтобы проверка пароля производилась в соответствии с параметрами, заданными в окне «Дополнительные настройки аутентификации», надо включить опцию «Проверка раскрытия паролей пользователей». В этом случае проверка пароля будет проводиться при установке пароля.

Параметр «Действие при несоответствии паролей пользователей требованиям аутентификации» отвечает за поведение системы при аутентификации пользователя (т.е. при входе в информационную базу). При логине пользователя с корректным, но не прошедшим проверку паролем (согласно установленным в окне «Дополнительные настройки аутентификации» требованиям) в журнал регистрации будет внесена запись о несоответствии пароля требованиям и у соответствующего объекта ПользовательИнформационнойБазы новое свойство ПарольНеСоответствуетТребованиям (PasswordDoesNotSatisfyRequirements) будет установлено в Истина.

Поведение системы в зависимости от параметра «Действие при несоответствии паролей пользователей требованиям аутентификации»:

• Нет. Пользователю будет разрешён вход в информационную базу.

• Предложить смену пароля. Пользователю будет предложено сменить пароль, при отказе пользователя ему будет разрешён вход в информационную базу с текущим паролем.

• Потребовать смену пароля. От пользователя потребуется сменить пароль, при отказе от смены пароля (или если пользователю запрещено менять пароль) вход в информационную базу будет запрещен.

Окно смены пароля:

Встроенный язык будет расширен новыми объектами и методами для поддержки новой функциональности.

Новый механизм проверки паролей позволит приложениям на платформе 1С:Предприятие соответствовать политикам информационной безопасности ряда компаний (и соответствовать рекомендациям методического документа ФСТЭК от 11 февраля 2014 г. раздел ИАФ.4).