Nella pagina di configurazione, è la modalità indicata come "Normale". E' questa la modalità di autenticazione predefinita di StartWeb, è cioè quella attiva dopo l'installazione dell'applicazione.
In questo caso, l'utente si considera autenticato quando le credenziali inserite corrispondono a quelle della definizione dell'utente di StartWeb. Si ricorda che il controllo del nome utente non distingue maiuscole e minuscole, mentre quello della password si.
Richiedendo direttamente una pagina specifica senza essersi precedentemente autenticati (ad esempio richiamandola dai preferiti) viene proposta la pagina di login e successivamente, in caso di esito positivo, la pagina richiesta. Una volta autenticato, l’utente resta tale, grazie a un cookie che mantiene delle informazioni che identificano l’utente (detto token di autenticazione).
Premendo il pulsante logout viene cancellato il token di autenticazione; una richiesta successiva porta alla pagina di login.
Applicazione del Decreto Legge 30/06/2003 n.196
Dalla procedura “Impostazioni StartWeb” di Time&Work si può attivare l’accesso a StartWeb secondo quanto previsto dal decreto legge 30/06/2003 n. 196.
In questo caso, la gestione degli Utenti impone i seguenti vincoli:
| 1. | la parola chiave (password): |
| a. | deve essere composta da almeno 8 caratteri; |
| b. | deve essere obbligatoriamente modificata dall’utente al primo utilizzo e, successivamente, ogni 3 o 6 mesi (in base all’opzione "Trattamento dati sensibili"); |
| c. | la password non deve contenere il nome utente, nè essere contenuta nello stesso; |
| 2. | gli utenti sono avvisati da appositi messaggi ogni giorno, a partire da almeno n giorni prima della scadenza della password (con n selezionabile); |
| 3. | l’utenza non utilizzata per 6 mesi sarà bloccata e non potrà essere assegnata ad altri nominativi: l’accesso con tale utente non sarà più abilitato e l’utente non sarà nè modificabile nè cancellabile. |
Si noti che questi controlli si applicano se si accede a StartWeb dalla pagina di login tradizionale, e non quando l’autenticazione usa altre vie (LDAP o pagine personalizzate).
Quando è necessario cambiare la password, in conseguenza della regola 1b, la maschera di login, dopo aver verificato che le credenziali utente/password inserite siano valide, presenta questo messaggio: “Login errato: password da modificare” se è il primo login, “Login errato: password scaduta” successivamente.
In basso è visibile il bottone “Cambia password”, che apre la finestra di modifica.
Sotto ancora troviamo il bottone "Password dimenticata?" che apre la finestra di reset della password, che
L’approssimarsi della data di scadenza della password, regola 2, è mostrato all’utente immediatamente dopo il login:
In qualsiasi momento, prima della scadenza, l’utente può modificare la propria password da dentro StartWeb, dal bottone di menu “Cambia password…”.
Controllo di complessità della password
Dalla procedura “Impostazioni StartWeb” di Time&Work si può attivare un controllo di complessità della password. In questo caso, la password di un utente è valida solo se soddisfa tutte le seguenti caratteristiche congiuntamente:
| • | contiene almeno 1 caratterere maiuscolo |
| • | contiene almeno 1 caratere minuscolo |
| • | contiene almeno 1 carattere non alfabetico (cioè non lettera o cifra) |
| • | ha una lunghezza almeno pari a quella indicata nella casella “Lunghezza minima della password”. |
| • |
Il controllo si applica quando l’utente modifica la sua password, in modo che è obbligatorio inserire una nuova password “sicura”. Si applica inoltre al momento stesso del login, in modo che se l’utente non ha una password sicura, è obbligato a cambiarla. Il messaggio infatti è questo:
Questa situazione si può verificare se si attiva il controllo di complessità dopo che sono già stati creati degli utenti con password non sicure, oppure quando gli utenti sono stati generati dalla procedura automatica dell’applicazione StartUtil (questa genera un utente con una password iniziale non sicura).