SAP User Management: password, 5 spunti di riflessione

Posted by Massimo Manara on Jun 24, 2020 12:00:00 AM

Utilizzi la password per autenticarti ai sistemi SAP?

SAP PAssword

Quali sono le casistiche più banali alle quali dovresti prestare attenzione?

Il processo di gestione delle password per le nuove utenze

Ogni giorno definisci (chi più chi meno) a sistema delle utenze. Ricevi dalle risorse umane una notifica o in altri modi, ad esempio tramite un ticket le utenze che devono essere create.

 

Mentre se utilizzi sistemi come SAP GRC Access Control oppure Identity Management questo problema potresti non averlo.

 

In questi casi sia avvia un workflow automatico o manuale di creazione della nuova utenza nei vari sistemi, tra cui anche SAP.

 

Alla fine del processo, il nuovo utente, per potersi collegare deve conoscere le sue credenziali, quindi una username ed una password.

 

1) Come gli viene comunicata questa password?

Uno dei primi aspetti sul quale interrogarsi è il come gli viene fornita questa password. Spesso questo aspetto è collegato al punto successivo.

 

  • Tramite mail?
  • Tramite telefono?
  • Dato che è uguale per tutti, ormai tutti sanno che è sempre quella, almeno quella iniziale?
  • Tramite un link temporaneo?

 

2) Come gestisci la password iniziale?

Ecco, quale scegli come password iniziale? Questo è uno degli aspetti più delicati e che spesso viene molto sottovalutato.

 

Ma quali sono i casi più comuni? Magari ereditati dal momento di progetto o da altre abitudini:

  • Init123a o varianti es. Init00
  • Iniziale!
  • Nome società ed anno es. Aglea2020 o anche Aglea1
  • CambiamiOra! (questa è più in stile anglosassone)

 

Ecco se anche tu usi questa tecnica o analoga forse dovresti rivedere questo aspetto.

Ma quali potrebbero i rischi?

 

  • Un utente si collega al posto di un altro. Pensi sia davvero così difficile? Se conosco che qualche nuovo collega sta entrando in azienda, magari conosco anche la USERID con la quale sarà creato nei sistemi e quindi, se utilizzo una password comune potrò entrare a nome suo. Chiaramente se il nuovo collega non ha fatto il primo accesso
  • Questa operazione potrebbe avvenire anche nei casi in cui un utente non si collega subito, appena gli viene fornito l'accesso. Quante volte capita che una utenza sia definita, magari di un top-manager e questo utente non si è nemmeno collegato a distanza di mesi

 

Anche per queste ragioni, in caso di tentativi di logon errati SAP ha introdotto un pop-up di avviso durante il logon.

 

Proprio per vedere se qualcuno ha provato a fare qualche tentativo di accesso (vedi anche nota OSS 2322332 - Number of failed password logon attempts).

 

Se effettuo un tentativo di logon in SAP, con credenziali non corrette, vedi errore sotto

 

SAP INCORRECT LOGON
 

Al prossimo logon con successo mi comparirà il messaggio di avviso seguente:

 

LOGON ATTEMPTS

 

3) La password iniziale ha scadenza?

Di default la password iniziale non ha scadenza, tuttavia tramite il profilo d'istanza SAP login/password_max_idle_initial puoi inserire il numero di giorni di validità della password.

 

Trascorsi i giorni indicati la password sarà disattivata e quindi l'utente (anche conoscendola) non potrà più entrare nel sistema.

 

4) La password produttiva ha una scadenza?

Anche se non direttamente legato agli aspetti di password iniziale, esiste un modo per far scadere la password, anche produttiva (quindi già cambiata almeno una volta dall'utente) in caso di mancato logon per un determinato periodo.

 

Questo parametro si chiama login/password_max_idle_productive. In questo caso potrei inserire un valore inferiore al cambio password obbligatorio (se utilizzo questa tecnica)

 

5) Le utenze hanno password diverse tra i vari sistemi?

Ulteriore aspetto di attenzione riguarda la copia dei sistemi. O se la tua utenza ha la stessa password nei vari sistemi. Ma perché questo potrebbe essere un rischio?

  • Se ho accesso al sistema di sviluppo o test, normalmente meno presidiati, da lì potrei recuperare la password ed usarla quindi nel sistema di produzione per accedere a nome tuo. Dato che la password è identica nei vari sistemi

 

Valuta la generazione automatica della password iniziale

Se non hai strumenti come il SAP GRC Access Control oppure soluzioni di Identity Management, allora puoi utilizzare direttamente la funzionalità standard SAP di generazione automatica della password.

 

Questo strumento, presente nel tab "Logon Data" della transazione SU01 (la transazione per la gestione degli utenti SAP) ti permette di generare una password.

 

Di default SAP la genera con la massima complessità possibile quindi 40 caratteri, numeri, lettere (maiuscole e minuscole), e caratteri speciali inclusi.

 

SAP_PASSWORD_GENERATE

 

Puoi personalizzare anche il comportamento della generazione tramite la tabella PRGN_CUST (utilizzando la transazione SM30) usando i seguenti customizing switch:

  • GEN_PSW_MAX_LETTERS login/min_password_letters

Maximum number of digits in the generated password

  • GEN_PSW_MAX_DIGITS login/min_password_digits

Maximum number of letters in the generated password

  • GEN_PSW_MAX_SPECIALS login/min_password_specials

Maximum number of special characters in the generated password

  • GEN_PSW_MAX_LENGTH login/min_password_lng

Maximum length of the generated password

Topics: sap password, sap logon

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti