Buenos dias, en base al nuevo parche de seguridad que pasaron, queriamos saber si hay alguna forma de forzar a todos los alumnos a que cambien su password en autogestion.
Hola Roberto, ¡buenas tardes!
En la información compartida junto con el parche se detallan los pasos a seguir para los casos en los que se haya detectado una posible vulneración de contraseñas.
Si desean forzar el cambio de contraseña para todos los alumnos, en el paso 2 alcanzaría con ejecutar el UPDATE sin discriminar usuarios en la cláusula WHERE.
De todos modos, consideramos más conveniente aplicar el cambio únicamente a los usuarios involucrados, en lugar de hacerlo de forma masiva para todos los alumnos.
¡Saludos!
Buenas tardes:
Dónde está publicado el link para descargar el parche y/o la info? Leímos una noticia al respecto, pero necesitamos entender más qué fué lo que ocurrió y como nos puede afectar. Muchas gracias!
Hola Ezequiel, ¡buen día!
La comunicación fue enviada por la Comisión de Ciberseguridad a las instituciones que se vieron afectadas. Las pasos indicados a seguir fueron los siguientes:
-
Identificar los usuarios del archivo enviado.
-
Limpiar la clave de acceso al sistema de esos usuarios.
-
Cambiar la longitud mínima requerida de la clave: desde Gestión modificar el parámetro del sistema “login_clave_longitud_minima”.
A parte, se subió un fix que mejora el manejo de claves en autogestión:
- 3.21.x: https://colab.siu.edu.ar/svn/guarani3/contrib/3.21.x/validacion_contrasenias/
- 3.22.x: https://colab.siu.edu.ar/svn/guarani3/contrib/3.22.x/validacion_contrasenias/
- 3.23.x: https://colab.siu.edu.ar/svn/guarani3/contrib/3.23.x/validacion_contrasenias/
Por cualquier duda o mas detalle por favor carguen una solicitud en el GDS y lo continuamos por alli.
¡Saludos!
Estaria bueno hacer que todos los alumnos utilicen la contraseña mas segura, para evitar problemas a futuro por eso queria saber si habia alguna forma ademas de forzarle por bd la contraseña. Hacer que tenga vencimiento por ejemplo. asi podria hacer que todos los usuarios utilicen contraseñas acordes a los parametros requeridos.
Otra duda: que pasa si se cambia el parametro por sistema de la longitud minima del password ? los usuarios que tienen un password de la longitud menor a la nueva podran ingresar al sistema o va a identificar que la longitud es menor y los va a obligar a cambiarla?
Hola Roberto, ¡buenas tardes!
Actualmente tenemos un ticket en análisis para incorporar la posibilidad de configurar un período de vencimiento para las contraseñas.
Por otro lado, si se modifica el parámetro del sistema correspondiente a la longitud mínima del password, esta nueva longitud se aplicará automáticamente a los nuevos usuarios. En el caso de los usuarios ya existentes, no habrá cambios, salvo que decidan actualizar su contraseña; en ese momento, el sistema les exigirá cumplir con la nueva longitud mínima configurada.
¡Saludos!
Buenos días,
¿El parche lo podemos aplicar en nuestra Universidad aunque no hayamos tenido casos de contraseñas vulneradas?
Saludos
Marcela
Hola Leticia, ¡buenas tardes!
Sí, pueden aplicarlo siempre y cuando se encuentren en las versiones en las que se incluyó el fix.
¡Saludos!
Buen día, consulta, el parche también sirve para la operación de cambio de password cuando el usuario ya se encuentra logueado?
Nosotros estamos actualmente en la versión 3.22.3 y vamos a implementarlo.
Saludos
Hola José, ¡buen día!
Sí, el parche también aplica para la operación de cambio de contraseña cuando el usuario ya se encuentra logueado.
¡Saludos!