பாதுகாப்பு

Canaille ஐப் பயன்படுத்துவது நல்ல பாதுகாப்பு நடைமுறைகளை எளிதாக அமைக்க அனுமதிக்கிறது.

ANSSI பரிந்துரை

ஏற்பு மற்றும் கடவுச்சொல் மேலாண்மை பற்றிய பாதுகாப்பு பரிந்துரைகளின் பட்டியலை என்று பிரெஞ்சு பாதுகாப்பு நிறுவனம் (ANSSI) விவரிக்கிறது. அந்த பரிந்துரைகளை Canaille எவ்வாறு செயல்படுத்துகிறார் என்பதன் சுருக்கம் இங்கே:

புராணக்கதை:

  • ✅ Canaille மூலம் செயல்படுத்தப்பட்டது

  • 🟧 Canaille ஆல் ஓரளவு செயல்படுத்தப்பட்டது

  • ❌ Canaille மூலம் செயல்படுத்தப்படவில்லை

  • ⬜ Canaille க்கு பொருந்தாது (நிறுவன/பயனர்/உள்கட்டமைப்பு பொறுப்பு)

ANSSI அங்கீகார பரிந்துரைகள் செயல்படுத்தல் நிலை

ஐடி

ANSSI பரிந்துரை

Canaile செயல்படுத்தல்

நிலை

R1

பல காரணி அங்கீகாரத்தை ஆதரிக்கவும். பல்வேறு வகைகளில் இருந்து பல அங்கீகார காரணிகளைப் பயன்படுத்தவும் (அறிவு, உடைமை, உள்ளார்ந்த தன்மை).

Canaile support :of:`multi-factor authentication <feature mfa>`.

R2

வலுவான அங்கீகார முறைகளைப் பயன்படுத்துவதை ஆதரிக்கவும். RGS மற்றும் அதன் இணைப்புகளுடன் இணக்கமான கிரிப்டோகிராஃபிக் வழிமுறைகளைப் பயன்படுத்தவும்.

Canaille செயல்படுத்துகிறது TOTP மற்றும் FIDO2/WebAuthn இவை வலுவான கிரிப்டோகிராஃபிக் வழிமுறைகளைப் பயன்படுத்துகின்றன.

Rz

இடர் பகுப்பாய்வு நடத்தவும். பாதுகாப்புத் தேவைகளின் அடிப்படையில் பொருத்தமான அங்கீகார முறைகளைத் தீர்மானிக்க இடர் பகுப்பாய்வு செய்யவும்.

இது ஒரு நிறுவனப் பொறுப்பு, Canaille செயல்படுத்தலுக்குக் குறிப்பிட்டதல்ல.

Rch

கட்டுப்படுத்தப்பட்ட சூழலில் அங்கீகார காரணிகளை உருவாக்கவும். எதிர்பார்க்கப்படும் பாதுகாப்பு நிலைக்கு இணக்கமான பாதுகாப்பான சூழலில் காரணிகளை உருவாக்கி வழங்கவும்.

இது ஒரு நிறுவன மற்றும் செயல்பாட்டு பொறுப்பு.

R5

ஒரு வலுவான செனரேட்டருடன் சீரற்ற கூறுகளை உருவாக்கவும். RGS annex B1 உடன் இணக்கமான ரேண்டம் எண் செனரேட்டரைப் பயன்படுத்தவும்.

Canaille Python's cryptographically Security சீரற்ற generators ஐப் பயன்படுத்துகிறது.

எலி

பாதுகாப்பான சேனல்கள் மூலம் அங்கீகார காரணிகளை வழங்கவும். ஒருமைப்பாடு, நம்பகத்தன்மை மற்றும் இரகசியத்தன்மைக்காக பாதுகாக்கப்பட்ட கை விநியோகத்தை அல்லது சேனல்களைப் பயன்படுத்துங்கள்.

இது நற்சான்றிதழ் விநியோகத்திற்கான நிறுவனப் பொறுப்பாகும்.

நான் போறேன்

அங்கீகார காரணி புதுப்பித்தல் செயல்முறையை செயல்படுத்தவும். பயனர்கள் தங்கள் அங்கீகார காரணிகளைப் புதுப்பிக்க அனுமதிக்கவும்.

பயனர்கள் தங்கள் கடவுச்சொல், மின்னஞ்சல் முகவரி மற்றும் தொலைபேசி எண்களை புதுப்பிக்கலாம். அவர்களின் சுயவிவரத்தில் தங்கள் TOTP சாதனங்களை நிர்வகிக்க முடியும்.

R8

அங்கீகார காரணியைப் பெறுவதற்கான வழிமுறையாக SMS ஐப் பயன்படுத்த வேண்டாம்.

SMS அங்கீகரிப்பு Canaille இல் கிடைக்கிறது, ஆனால் இயல்பாகவே முடக்கப்பட்டுள்ளது. குறைந்த பாதுகாப்பு சூழல்களில் இது இன்னும் வசதியான மாற்றாக வழங்கப்படுகிறது.

காகிதத்தோல்

அங்கீகார காரணிகளின் பயன்பாட்டு வரலாற்றைப் பாதுகாக்கவும். அசாதாரண நடத்தையை கண்டறிய ஏற்பு தொடர்பான நிகழ்வுகளை பதிவு செய்யவும்.

Canaille அங்கீகார நிகழ்வுகள் மற்றும் உள்நுழைவு முயற்சிகளை பதிவு செய்கிறது.

R10

காலப்போக்கில் அங்கீகார முயற்சிகளை வரம்பிடவும்.

தோல்வியுற்ற முயற்சிகளுக்குப் பிறகு முற்போக்கான தாமதங்களுடன் கேனயில் intruder lockout செயல்படுத்துகிறது. பார்க்க ENABLE_INTRUDER_LOCKOUT.

R11

பாதுகாப்பான சேனல் மூலம் அங்கீகாரத்தைச் செய்யவும். அங்கீகார தகவல்தொடர்புகளைப் பாதுகாக்க TLS அல்லது IPsec போன்ற நெறிமுறைகளைப் பயன்படுத்தவும்.

இது இணைய சேவையக கட்டமைப்பு மூலம் கையாளப்படுகிறது.

R12

அங்கீகரிக்கப்பட்ட அமர்வுகளின் செல்லுபடியாகும் காலத்தை வரம்பிடவும். அதிகபட்ச அமர்வு காலத்தை அமைத்து, அவ்வப்போது மறு அங்கீகாரத்தை கட்டாயப்படுத்தவும்.

Canaille அமர்வு கால அளவைக் கட்டுப்படுத்துகிறது. 1 வருடத்தின் இயல்புநிலை மதிப்பு தனிப்பயனாக்கக்கூடியது. பார்க்க PERMANENT_SESSION_LIFETIME.

R13

சரிபார்ப்பாளரால் சேமிக்கப்பட்ட அங்கீகாரத் தரவைப் பாதுகாக்கவும். சேமிக்கப்பட்ட அங்கீகாரத் தரவின் ரகசியத்தன்மை மற்றும் ஒருமைப்பாடு பாதுகாப்பை உறுதி செய்தல்.

பாதுகாப்பான அல்காரிதம்களைப் பயன்படுத்தி கனாயில் கடவுச்சொற்களை சரியாக ஆச் செய்கிறது. பார்க்க PASSWORD_SCHEMES.

R14

அங்கீகார தோல்வி பற்றிய தகவலை வழங்க வேண்டாம். பல காரணி தோல்வி ஏற்பட்டால், எந்த காரணி தோல்வியை ஏற்படுத்தியது என்பதை வெளிப்படுத்த வேண்டாம்.

Canaille ஒவ்வொரு காரணியையும் ஒவ்வொன்றாக சரிபார்க்கிறது.

R15

அங்கீகார காரணிகளுக்கான காலாவதி தாமதங்களை வரையறுக்கவும். மோசடியான பயன்பாட்டைக் கட்டுப்படுத்த காலாவதி தேதிகளை அமைக்கவும்.

மின்னஞ்சல் மற்றும் SMS குறியீடுகள் மற்றும் TOTP ஆகியவற்றுக்கான காலாவதியை Canaille செயல்படுத்துகிறது. HOTP குறியீடுகள் காலாவதியாகாது, ஆனால் OTP அங்கீகரிப்பு காரணியைத் தேர்ந்தெடுக்கும்போது அவை இயல்பாகப் பயன்படுத்தப்படாது. கடவுச்சொல் காலாவதி தேதியைக் கொண்டிருக்கலாம், ஆனால் இது R24 மூலம் பொதுவான பயனர் கணக்குகளுக்கு பரிந்துரைக்கப்படவில்லை. பார்க்க OTP_LIFETIME, TOTP_LIFETIME மற்றும் :attr:`~canaille.core.configuration.PALSSWORSettings.

R16

அங்கீகார காரணிகளுக்கான பயன்பாட்டுக் கொள்கையை வரையறுக்கவும். இழப்பு அல்லது சமரச வழக்குகளுக்கான பயன்பாட்டு நிலைமைகள் மற்றும் நடைமுறைகளை நிறுவுதல்.

இது ஒரு நிறுவனக் கொள்கைப் பொறுப்பு.

R17

அங்கீகார பாதுகாப்பு குறித்த பயனர் விழிப்புணர்வை ஏற்படுத்தவும். அபாயங்கள் (ஃபிசிங், முதலியன) பற்றிய விழிப்புணர்வு பிரச்சாரங்களைச் செயல்படுத்தவும்.

இது ஒரு நிறுவன பயிற்சி பொறுப்பு.

R18

காரணி திரும்பப்பெறுதலை இயக்கவும் மற்றும் திரும்பப்பெறுதல் தகவலை விநியோகிக்கவும்.

அனைத்து அங்கீகார காரணிகளையும் மீட்டமைக்க முடியும், ஆனால் பயனர்கள் திரும்பப்பெறுவதற்கான வழியை நிறுவனத்தின் பொறுப்பேற்க வேண்டும்.

R19

பொருத்தமான திரும்பப் பெறுதல் செயலாக்க தாமதங்களை வரையறுக்கவும். கணினி எதிர்கொள்ளும் அச்சுறுத்தல்களுக்கு திரும்பப்பெறுதல் தாமதங்களை மாற்றியமைக்கவும்.

இது ஒரு நிறுவன கொள்கை முடிவு.

R20

கடவுச்சொல் பாதுகாப்பு கொள்கையை செயல்படுத்தவும். சூழல் மற்றும் பாதுகாப்பு நோக்கங்களுக்கு ஏற்ப ஒரு கொள்கையை வரையறுக்கவும்.

பாதுகாப்பின் முறையான வரையறை என்பது நிறுவனத்தின் பொறுப்பாகும், ஆனால் கொள்கையின் எந்தப் பகுதியையும் Canaille இல் தனிப்பயனாக்கலாம். பின்வரும் பரிந்துரைகளைப் பார்க்கவும். Canaille அனைத்து புள்ளிகளுக்கும் நல்ல போதுமான இயல்புநிலைகளை வழங்குகிறது.

R21

குறைந்தபட்ச கடவுச்சொல் நீளத்தை செயல்படுத்தவும். இலக்கு பாதுகாப்பு நிலையின் அடிப்படையில் குறைந்தபட்ச நீளத்தை வரையறுக்கவும்.

கடவுச்சொல் நீளம் உள்ளமைக்கக்கூடியது. பார்க்க MIN_PASSWORD_LENGTH அமைப்பைப் பார்க்கவும்.

ஆர்

அதிகபட்ச கடவுச்சொல் நீளத்தை செயல்படுத்த வேண்டாம். நீண்ட கடவுச்சொற்களைப் பயன்படுத்த அனுமதிக்கவும்.

Canaille நீண்ட கடவுச்சொற்களை ஆதரிக்கிறது, ஆனால் மிக அதிகமான பேலோடுகளை வழங்குவதன் மூலம் DOS தாக்குதல்களைத் தடுக்க போதுமான மேல் வரம்பை அமைக்கிறது. பார்க்க MAX_PASSWORD_LENGTH.

அருமை

கடவுச்சொல் சிக்கலான விதிகளை செயல்படுத்தவும். பயன்படுத்தப்படும் எழுத்து வகைகளுக்கு கட்டுப்பாடுகளை விதிக்கவும்.

எழுத்து வகை சிக்கலான தேவைகளை Canaille செயல்படுத்தவில்லை. தொடர்புடைய சிக்கலைப் பார்க்கவும்.

R24

உணர்திறன் இல்லாத கணக்குகளில் இயல்புநிலையாக காலாவதி தாமதங்களைச் செயல்படுத்த வேண்டாம். கடவுச்சொற்கள் வலுவாக இருந்தால், நிலையான பயனர் கணக்குகளுக்கு தானியங்கி காலாவதியைத் தவிர்க்கவும்.

கடவுச்சொல் காலாவதியை முன்னிருப்பாக Canaille செயல்படுத்தாது.

ராச்

சலுகை பெற்ற கணக்கு கடவுச்சொற்களில் காலாவதி தாமதங்களைச் செயல்படுத்தவும். நிர்வாகி கணக்குகளுக்கான காலாவதியை (1-3 ஆண்டுகள்) அமைக்கவும்.

கடவுச்சொல் காலாவதி :attr:` <canaille.core.configuration.CoreSettings.MAX_PASSWORD_LENGTH>` தனிப்பயனாக்கலாம் ஆனால் Canaille வழக்கமான மற்றும் சலுகை பெற்ற கணக்குகளுக்கு இடையே கடவுச்சொல் கொள்கைகளை வேறுபடுத்தாது.

🟧

R26

சந்தேகத்திற்குரிய அல்லது உறுதிப்படுத்தப்பட்ட வேறுபாடின்மை ஏற்பட்டால் உடனடியாக கடவுச்சொற்களை திரும்பப் பெறவும். விபத்து ஏற்பட்டால் பாதிக்கப்பட்ட அனைத்து கடவுச்சொற்களையும் ஒரு நாளுக்குள் புதுப்பிக்கவும்.

இது ஒரு செயல்பாட்டு நிகழ்வு பதில் செயல்முறை.

அவன் போய்விட்டான்

கடவுச்சொல் வலிமை கட்டுப்பாட்டை செயல்படுத்தவும். உருவாக்கம்/புதுப்பித்தல் போது தானாக வலிமையை சரிபார்க்கவும்.

zxcvbn அல்காரிதத்தைப் பயன்படுத்தி கடவுச்சொற்களின் வலிமை சரிபார்ப்பை Canaille செயல்படுத்துகிறது, கடவுச்சொல் உள்ளீட்டின் போது ஒரு காட்சி வலிமை காட்டி. கூடுதலாக, கடவுச்சொற்கள் ஆவ் ஐ பீன் ப்வ்ன்ட் தரவுத்தளத்திற்கு எதிராக சோதிக்கப்படுகின்றன. இருப்பினும், Canaille பழைய கடவுச்சொற்களை மீண்டும் பயன்படுத்துவதையோ அல்லது தற்போதைய கடவுச்சொல் <298>` இல் உள்ள :issue:`தனிப்பட்ட தகவலையோ தேடவில்லை.

🟧

R28

ஒரு நீண்ட சீரற்ற உப்பு பயன்படுத்தவும். ஒவ்வொரு கணக்கிற்கும் குறைந்தது 128 பிட்களின் சீரற்ற உப்பைப் பயன்படுத்தவும்.

அனைத்து ஆதரிக்கப்படும் PASSWORD_SCHEMES உடன் கடவுச்சொல்லை ஏசிங்கிற்கு சரியான உப்பிடுதலை Canaille பயன்படுத்துகிறது.

R29

கடவுச்சொற்களை சேமிக்க நினைவக கடின கடவுச்சொல் வழித்தோன்றல் செயல்பாட்டைப் பயன்படுத்தவும். கடவுச்சொல் சேமிப்பகத்திற்கு ச்கிரிப்ட் அல்லது ஆர்கான் 2 ஐப் பயன்படுத்தவும்.

Canaille:attr:~canaille.backends.sql.configuration.SQLSettings.PASSWORD_SCHEMES வழியாக Argon2 மற்றும் பிற பாதுகாப்பான அல்காரிதம்களை ஆதரிக்கிறது.

R29ー

கடவுச்சொற்களை சேமிக்க, மீண்டும் சொல்லும் கடவுச்சொல் வழித்தோன்றல் செயல்பாட்டைப் பயன்படுத்தவும். மாற்று: நினைவக-கடின செயல்பாடுகளை செயல்படுத்த கடினமாக இருந்தால் PBKDF2 ஐப் பயன்படுத்தவும்.

Canaille PBKDF2 ஐ ஆதரிக்கிறது மற்றும் இயல்புநிலையாக pbkdf2_sha512 திட்டத்தைப் பயன்படுத்துகிறது. பார்க்க PASSWORD_SCHEMES.

R30

அணுகல் மீட்பு முறையை வழங்கவும். மறந்த/இழந்த நற்சான்றிதழ்களுக்கான மீட்பு நடைமுறைகளைச் செயல்படுத்தவும்.

Canaille உள்ளமைவு மூலம் மின்னஞ்சல் வழியாக கடவுச்சொல் மீட்டெடுப்பை வழங்க முடியும். கடவுச்சொல் மீட்பு கொள்கையை வரையறுப்பது நிறுவனத்தின் பொறுப்பாகும். பார்க்க ENABLE_PASSWORD_RECOVERY.

R31

கடவுச்சொல் பெட்டகத்தை வழங்கவும். கடவுச்சொல் மேலாளர் பயன்பாட்டில் பயனர்களுக்கு வழங்குதல் மற்றும் பயிற்சியளிக்கவும்.

கடவுச்சொல் நிர்வாகிகளை வழங்குவதற்கான நிறுவன பொறுப்பு இதுவாகும்.

ரார்பைட்

R32 முதல் R38 வரையிலான பரிந்துரைகள் இறுதிப் பயனர்களைக் குறிவைக்கின்றன.

ராச்

தகுதிவாய்ந்த பாதுகாப்பு கூறுகளை ஒருங்கிணைக்கும் உடைமை காரணியைப் பயன்படுத்தவும். ANSSI பாதுகாப்பு அனுமதியைப் பெற்ற ஃபேவர் பாகங்கள்.

FIDO2/WebAuthn ஒருங்கிணைந்த பாதுகாப்பு கூறுகளுடன் கூடிய வன்பொருள் பாதுகாப்பு விசைகளை ஆதரிக்கிறது (எ.கா., YubiKey, Titan).

ராச்

பாதுகாப்பு கூறுகளை ஒருங்கிணைக்கும் உடைமை காரணியைப் பயன்படுத்தவும். மாற்று: குறைந்தபட்சம் ஒரு ஒருங்கிணைந்த பாதுகாப்பு கூறுகளை பயன்படுத்தவும்.

FIDO2/WebAuthn வன்பொருள் விசைகள் மற்றும் பாதுகாப்பு கூறுகளுடன் இயங்குதள அங்கீகரிப்பாளர்களை ஆதரிக்கிறது.

ராச்

பாதுகாப்பு கூறு இல்லாமல் கூட உடைமை காரணியைப் பயன்படுத்தவும். கடைசி முயற்சியாக, கூடுதல் பாதுகாப்பு நடவடிக்கைகளை (குறியாக்கம், அணுகல் கட்டுப்பாடுகள்) பயன்படுத்தவும்.

TOTP OTP_METHOD வழியாக மென்பொருள் அங்கீகரிப்பாளர்களுடன் ஒரு உடைமை காரணியாக வேலை செய்யலாம்.

R40

ஒரு உள்ளார்ந்த காரணியை ஒரே அங்கீகார காரணியாகப் பயன்படுத்த வேண்டாம். அங்கீகாரத்திற்காக பயோமெட்ரிக்சை மட்டும் தவிர்க்கவும்.

FIDO2/WebAuthn பயோமெட்ரிக் அங்கீகரிப்பாளர்களை (TouchID, FaceID, சாளரங்கள் Hello) கிரிப்டோகிராஃபிக் சான்று உடைமையுடன் இணைக்கலாம்

R41

வலுவான காரணியுடன் மட்டுமே தொடர்புடைய உள்ளார்ந்த காரணியைப் பயன்படுத்தவும். பல காரணிகளில், RGS உடன் இணக்கமான கிரிப்டோகிராஃபிக் காரணியுடன் பயோமெட்ரிக்சுடன் இணைந்திருங்கள்.

FIDO2/WebAuthn பயோமெட்ரிக் பயனர் சரிபார்ப்பு இயக்கப்படும்போது இந்தத் தேவையைப் நிறைவு செய்யும் கிரிப்டோகிராஃபிக் சவால்-பதிலைச் செயல்படுத்துகிறது.

R42

ஒரு உள்ளார்ந்த காரணியை பதிவு செய்யும் போது நேரில் சந்திப்பதை விரும்புங்கள். பயோமெட்ரிக் பதிவுக்காக நேருக்கு நேர் அடையாள சரிபார்ப்பைச் செய்யவும்.

இது ஒரு நிறுவன பதிவு நடைமுறைப் பொறுப்பாகும்.