Seperti yang kita ketahui bersama bahwa Outlook Web Access sebagai fasilitas Webmail dari Exchange Server mempunyai salah satu fitur yaitu Change Password. Kita bisa mengganti password yang sehari-hari kita gunakan untuk mengakses email kita melalui Outlook Web Access (OWA).
Nah, sesudah kita mengganti password dari OWA tersebut, ada suatu periode dimana dalam 15 menit kita bisa mengakses OWA dengan menggunakan password lama dan password baru kita? Mengapa bisa begitu?
Salah satu alasan yang paling tepat adalah, OWA ada pada web services (IIS) dan secara desain hal itu dipengaruhi faktor latency pada IIS itu sendiri yang dikontrol oleh Registry.
Jadi, apakah aman? Dari sisi keamanan, dengan berpedoman pada setiap password user hanya user tersebut yang mengetahuinya maka hal ini tidak ada hubungannya dengan keamanan. Namun, bila ada yang paranoid dan menganggap hal ini tidak bisa ditolerir, maka dengan mengacu pada knowledge base berikut:
http://support.microsoft.com/kb/267568
Maka kita bisa melakukan perubahan pada registry agar ketika password diganti, password lama sudah tidak bisa digunakan pada OWA.
Caranya adalah dengan menambahkan registry DWORD UserTokenTTL pada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters. Nilai yang bisa diberikan pada registry tersebut berkisar dari 0 – 0x7fffffff (dalam satuan detik).
Setelah registry ditambahkan, lakukan iisreset dari command prompt. Kemudian coba lakukan penggantian password lagi melalui OWA dan anda akan mendapatkan bahwa password lama tidak bisa dipakai kembali (sudah di flush) sesuai rentang waktu yang telah anda definisikan sebelumnya.
Sebagai catatan, hal ini dilakukan pada Front End Server di Exchange Server 2000 dan Exchange Server 2003 dan pada Client Access Server di Exchange 2007 dan Exchange 2010.
Akhir kata, selamat mencoba.
Referensi tambahan: http://support.microsoft.com/default.aspx?scid=kb;en-us;152526.
Salam,
Raymond Engelbert