Schaden vermeiden: Passwort Policy in Weblication®

Schaden vermeiden: Passwort Policy in Weblication^®

Veröffentlichungsdatum: 30. September 2016
Änderungsdatum: 13. März 2025

weblication cms passwort password policy sicherheit login anmelden showmaskchangepassword openMaskChangePasswordIfExpired expires gültigkeit

Um ein entsprechendes Sicherheitsniveau der Weblication® CMS Anmeldedaten (Benutzername und Passwort) zu gewährleisten, sollten Regeln für die Vergabe und Gültigkeit von Passwörtern festgelegt werden.

Regeln für die Einhaltung eines entsprechenden Sicherheitsniveaus für Logindaten sind unverzichtbarer Bestandteil eines Internet-Portales. Nur so können Sie den Benutzern beim Anmelden das erforderliche Gefühl von Sicherheit vermitteln, gerade in Bezug auf deren Login-Daten und den Informationen, die in passwortgeschützten Bereichen zur Ansicht freigegeben sind. Dies betrifft natürlich auch die Möglichkeit der redaktionellen Einflußnahme, welche nicht durch ausspionierte oder gehackte Login-Daten mißbraucht werden darf!

Mögliche Kriterien für eine Passwort Policy
Möglichkeiten zur Umsetzung einer Passwort Policy in Weblication^®
Passwort ändern
Passwort vergessen

Mögliche Kriterien für eine Passwort Policy

Nachfolgend finden Sie eine Auswahl an Kriterien, die zu einer Passwort Policy festgelegt werden können:

Passwortlänge
z.B. mindestens 11 Zeichen
Keine bekannten Namen / Wörter
z.B. keine Namen oder bekannte Wörter aus einem Wörterbuch - auch nicht von Fremdsprachen
Zusammenhang Loginname und Passwort
z.B. sollte das Passwort nicht den Benutzernamen enthalten
Kein Rückschluß über Benutzerdaten
z.B. sollte das Passwort keinen Bezug zum Benutzer (Geburtsdatum, Wohnort, Verbindung zu Freundes-/Familienkreis, etc.) besitzen
Verschiedene Kategorien an Zeichensätzen
z.B. sollte das Passwort aus einer Mischung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen
Passwort selber setzen
z.B. sollte das Passwort bei (Erst-)Vergabe durch Dritte unverzüglich geändert werden
Passwort sicher verwahren
z.B. sollte das Passwort nicht unverschlüsselt digital oder handschriftlich abgelegt werden
Regelmäßige Passwortänderung
z.B. sollte das Passwort in bestimmten Intervallen (halbjährlich, jährlich, ...) geändert werden
Zwei-Faktor-Authentifizierung (2FA)
z.B. zusätzliche Identifzierung über TAN oder OTP-Systeme
Übertragen der Anmeldedaten über eine gesicherte Verbindung (HTTPS / SSL)
Weblication^® unterstützt standardmässig den Einsatz unter HTTPS mit SSL-Zertifikaten

Möglichkeiten zur Umsetzung einer Passwort Policy in Weblication^®

Stand: September 2016

Um mögliche Kriterien für eine Passwort Policy umsetzen zu können, stehen Ihnen in Weblication^® mehrere Möglichkeiten und Funktionen zur Verfügung, welche unter anderem sind:

Passwortregeln festlegen
Die Sicherheitsstufe für ein Passwort legen Sie global in den Systemeinstellungen fest und entscheiden in Formularen bei Passwortangabe, ob diese globalen Einstellungen dort auch greifen sollen (z.B. Weblics^® wie Benutzerregistrierung, Passwort ändern Formular).
Änderungsintervalle und Gültigkeitszeitraum
Für eine gewünschte Passwortänderung kann ein Änderungsintervall und auch ein Gültigkeitsdatum festgelegt werden (Benutzerverwaltung)
Sicherheitsstufe für Passwortqualität
Für die Änderung über das System-Formular lässt sich eine für alle Benutzer geltende Sicherheitsstufe für die Passwortqualität einstellen (minSecureLevel)
Die einstellbare Sicherheitsstufe kann auf die Benutzerverwaltung erweitert werden, sofern Pflegebenutzer diese freigeschaltet bekommen (Modul "Redakteure pflegen Benutzer").
Passwort ändern Formular
Zum Ändern des Passwortes steht zum einen eine System-Maske und auch ein Weblic^® "Passwort ändern Formular" zur Verfügung.
Eigener Algorithmus
Soll ein eigener Algorithmus genutzt werden, kann über die pre.php definiert werden, welches Formular zum Ändern des Passwortes statt des System-Formulares aufgerufen werden soll.
Salt: Gesalzene Passwörter
Auf Anfrage teilen wir Ihnen gerne mit, wie Sie gesalzene Passwörter verwenden können (Wikipedia-Artikel: Salt (Kryptologie))
Zwei-Faktor-Authentifizierung (2FA)
Aktuelle CMS-Versionen bieten Zwei-Faktor-Authentifizierung (2FA) für den Anmeldevorgang an.

Einen Artikel, wie Sie die Ablaufzeit des Passwortes neu setzen, finden Sie hier ("Benutzer: Paßwortgültigkeit neu setzen"). Weiter unten finden Sie die Möglichkeiten, um auf abgelaufende Passwörter reagieren zu können.

Ein Benutzer vom Benutzertyp "Aministrator" hat grundsätzlich immer alle Rechte und kann somit auf die Regeln für die Passwort Policy Einfluß nehmen! Ein Administrator sollte daher nur an entsprechend versierte Personen vergeben werden und ein sehr sicheres Passwort gesetzt haben!

Passwort ändern

Um ein Passwort nach Erstvergabe oder einem bestimmten Zeitraum aus Sicherheitsgründen ändern zu können, stehen Ihnen zum einen eine System-Maske und auch ein Weblic^® "Passwort ändern Formular" zur Verfügung.

Über die pre.php können Sie definieren, wie das Verhalten bei abgelaufenem Passwort sein soll:

Auszug aus der pre.php des globalen Projektes zu Passwort-Einstellungen

// ...
  // Legt fest, ob bei abgelaufenem Passwort die Maske zum Ändern des Passwortes angezeigt werden soll. Mögliche Werte sind: '' oder 'once' für einmal anzeigen, 'never' für nie anzeigen, 'always' für bei jedem Aufruf anzeigen
  // Mögliche Werte sind: 
  // - '' oder 'once' für einmal anzeigen
  // - 'never' für nie anzeigen
  // - 'always' für bei jedem Aufruf anzeigen
  $preVars['openMaskChangePasswordIfExpired'] = 'always';
  
  // URL, die aufgerufen wird, falls die Maske zum Ändern des Passwortes angezeigt werden soll.
  $preVars['urlChangePasswordIfExpired'] = '';
// ...

Auszug aus der pre.php des globalen Projektes zu Passwort-Einstellungen - alternative Abfrage

// ...
//   Abfrage, ob das Passwort abgelaufen ist und ggf. auf Passwort Ändern Formular weiterleiten (ggf. verzögert über JS):
  $urlChangePwd = "/de/passwort-aendern.php";  // Pfad an eigene Pfade anpassen!
  if(wUserCur::hasPasswordExpired() == TRUE && wRequest::getPath() != $urlChangePwd){
    print 'Ihr Passwort ist abgelaufen! (Benutzername: <strong>'.wUserCur::getName().'</strong>)';
    wResponse::redirect($urlChangePwd);
  }
// ...

Passwort vergessen

Sollten ein Passwort in Vergessenheit geraten sein, steht Ihnen ein Weblic^® "Passwort vergessen Formular" zur Verfügung. Über das Formular wird eine E-Mail an den entsprechenden Benutzer verschickt, über die er einen Link zur Vergabe eines neuen Passwortes aufrufen kann. Der entsprechende Benutzer muß hierfür mit einer gültigen E-Mail Adresse in der Benutzerdatei (Benutzerverwaltung) versehen sein.

In den weiterführenden Links finden Sie weitere nützliche Quellen rund um das Thema Sicherheit von Passwörtern!

Weiterführende Links

Sicherheit erhöhen: Empfehlungen zur Passwortwahl

So gehen Sie bei fehlerhaftem Login vor

Formular für den Versand der Login-Daten

Benutzer: Paßwortgültigkeit neu setzen

weblics.de: Passwort ändern Formular

weblics.de: Passwort vergessen Formular

heise.de: Passwort-Schutz für jeden | heise Security

heise.de: Knack mich, wenn du kannst - Die Tools und Techniken der Passwortknacker

FAQs

Warum sollte eine Passwort-Policy für Weblication® Anmeldedaten festgelegt werden?: Damit ein entsprechendes Sicherheitsniveau für Benutzername und Passwort gewährleistet ist. Das reduziert Risiken wie Ausspionieren oder Hacking von Logindaten und hilft dabei, dass Nutzer beim Anmelden ein Gefühl von Sicherheit haben – auch in passwortgeschützten Bereichen.
Welche Kriterien können für eine Passwort-Policy verwendet werden?: Beispiele sind: mindestens 11 Zeichen Passwortlänge, keine bekannten Namen/Wörter (auch keine fremdsprachigen Wörter), kein Zusammenhang zwischen Loginname und Passwort, kein Rückschluss auf Benutzerdaten, Kombination aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Zusätzlich können Regeln für sicheres Verwahren, regelmäßige Änderungen sowie optionale 2FA (TAN/OTP) und die Nutzung gesicherter Verbindungen (HTTPS/SSL) gelten.
Welche Passwortregeln kann ich in Weblication® global festlegen?: Sie können in den Systemeinstellungen eine Sicherheitsstufe bzw. Passwortregeln global definieren. In Formularen zur Passwortangabe kann außerdem gesteuert werden, ob diese globalen Einstellungen dort ebenfalls greifen (z. B. bei Benutzerregistrierung und im Passwort ändern Formular).
Kann in Weblication® ein Änderungsintervall und ein Gültigkeitszeitraum für Passwörter festgelegt werden?: Ja. Für die gewünschte Passwortänderung können Änderungsintervall und Gültigkeitsdatum festgelegt werden (u. a. in der Benutzerverwaltung).
Wie wird die Passwortqualität in Weblication® geregelt?: Für Änderungen über das System-Formular kann eine für alle Benutzer geltende Sicherheitsstufe für die Passwortqualität gesetzt werden (minSecureLevel). Diese Sicherheitsstufe kann in der Benutzerverwaltung erweitert werden, sofern Pflegebenutzer hierfür freigeschaltet sind (Modul „Redakteure pflegen Benutzer“).
Welche Möglichkeiten gibt es, das Passwort in Weblication® zu ändern?: Es stehen ein System-Änderungsformular sowie ein Weblic® „Passwort ändern Formular“ zur Verfügung. Zusätzlich kann über pre.php ein eigener Algorithmus/Redirect so konfiguriert werden, dass statt des System-Formulars ein anderes Formular aufgerufen wird.
Was bedeutet „abgelaufenes Passwort“ in den Weblication® Einstellungen?: Weblication® kann so konfiguriert werden, dass bei abgelaufenem Passwort eine Maske zum Ändern angezeigt wird. Über pre.php kann gesteuert werden, ob die Maske nur einmal, nie oder bei jedem Aufruf angezeigt wird.
Kann eine automatische Weiterleitung bei abgelaufenem Passwort erfolgen?: Ja. In der pre.php kann geprüft werden, ob das Passwort abgelaufen ist (z. B. per hasPasswordExpired) und dann auf ein Passwort-Ändern-Formular weitergeleitet werden (im Beispiel: Redirect auf /de/passwort-aendern.php).
Wie kann ich das Passwort ändern lassen, wenn es abgelaufen ist?: Durch die in pre.php konfigurierte Logik: Je nach Einstellung wird die Maske zum Ändern angezeigt (z. B. „always“), oder es erfolgt eine Weiterleitung auf ein Passwort-Änderungsformular. Nutzer müssen dann ihr Passwort neu setzen.
Wie funktioniert „Passwort vergessen“ in Weblication®?: Über ein entsprechendes Formular wird eine E-Mail an den Benutzer verschickt. Der Benutzer erhält einen Link zur Vergabe eines neuen Passwortes. Voraussetzung ist, dass der Benutzer mit einer gültigen E-Mail-Adresse in den entsprechenden Benutzerdaten geführt wird.
Unterstützt Weblication® Zwei-Faktor-Authentifizierung (2FA)?: Ja. Aktuelle CMS-Versionen bieten 2FA für den Anmeldevorgang (zusätzlich zur Passwortprüfung), z. B. über TAN- oder OTP-Systeme.
Unterstützt Weblication® die sichere Übertragung der Anmeldedaten?: Ja. Weblication® unterstützt standardmäßig den Einsatz unter HTTPS mit SSL-Zertifikaten, sodass Anmeldedaten über eine gesicherte Verbindung übertragen werden.
Welche Rolle spielt der Administrator bei der Passwort-Policy?: Ein Benutzer vom Typ „Administrator“ hat grundsätzlich alle Rechte und kann damit auf die Regeln der Passwort-Policy Einfluss nehmen. Daher sollte ein Administrator nur an entsprechend versierte Personen vergeben werden und ein sehr sicheres Passwort gesetzt haben.