Veröffentlichungsdatum: 30. September 2016
Änderungsdatum: 21. Dezember 2023
weblication cms passwort password policy sicherheit login anmelden showmaskchangepassword openMaskChangePasswordIfExpired expires gültigkeit
Um ein entsprechendes Sicherheitsniveau der Weblication® CMS Anmeldedaten (Benutzername und Passwort) zu gewährleisten, sollten Regeln für die Vergabe und Gültigkeit von Passwörtern festgelegt werden.
Regeln für die Einhaltung eines entsprechenden Sicherheitsniveaus für Logindaten sind unverzichtbarer Bestandteil eines Internet-Portales. Nur so können Sie den Benutzern beim Anmelden das erforderliche Gefühl von Sicherheit vermitteln, gerade in Bezug auf deren Login-Daten und den Informationen, die in passwortgeschützten Bereichen zur Ansicht freigegeben sind. Dies betrifft natürlich auch die Möglichkeit der redaktionellen Einflußnahme, welche nicht durch ausspionierte oder gehackte Login-Daten mißbraucht werden darf!
Nachfolgend finden Sie eine Auswahl an Kriterien, die zu einer Passwort Policy festgelegt werden können:
Stand: September 2016
Um mögliche Kriterien für eine Passwort Policy umsetzen zu können, stehen Ihnen in Weblication® mehrere Möglichkeiten und Funktionen zur Verfügung, welche unter anderem sind:
Einen Artikel, wie Sie die Ablaufzeit des Passwortes neu setzen, finden Sie hier ("Benutzer: Paßwortgültigkeit neu setzen"). Weiter unten finden Sie die Möglichkeiten, um auf abgelaufende Passwörter reagieren zu können.
Ein Benutzer vom Benutzertyp "Aministrator" hat grundsätzlich immer alle Rechte und kann somit auf die Regeln für die Passwort Policy Einfluß nehmen! Ein Administrator sollte daher nur an entsprechend versierte Personen vergeben werden und ein sehr sicheres Passwort gesetzt haben!
Um ein Passwort nach Erstvergabe oder einem bestimmten Zeitraum aus Sicherheitsgründen ändern zu können, stehen Ihnen zum einen eine System-Maske und auch ein Weblic® "Passwort ändern Formular" zur Verfügung.
Über die pre.php können Sie definieren, wie das Verhalten bei abgelaufenem Passwort sein soll:
// ...
// Legt fest, ob bei abgelaufenem Passwort die Maske zum Ändern des Passwortes angezeigt werden soll. Mögliche Werte sind: '' oder 'once' für einmal anzeigen, 'never' für nie anzeigen, 'always' für bei jedem Aufruf anzeigen
// Mögliche Werte sind:
// - '' oder 'once' für einmal anzeigen
// - 'never' für nie anzeigen
// - 'always' für bei jedem Aufruf anzeigen
$preVars['openMaskChangePasswordIfExpired'] = 'always';
// URL, die aufgerufen wird, falls die Maske zum Ändern des Passwortes angezeigt werden soll.
$preVars['urlChangePasswordIfExpired'] = '';
// ...
// ...
// Abfrage, ob das Passwort abgelaufen ist und ggf. auf Passwort Ändern Formular weiterleiten (ggf. verzögert über JS):
$urlChangePwd = "/de/passwort-aendern.php"; // Pfad an eigene Pfade anpassen!
if(wUserCur::hasPasswordExpired() == TRUE && wRequest::getPath() != $urlChangePwd){
print 'Ihr Passwort ist abgelaufen! (Benutzername: <strong>'.wUserCur::getName().'</strong>)';
wResponse::redirect($urlChangePwd);
}
// ...
Sollten ein Passwort in Vergessenheit geraten sein, steht Ihnen ein Weblic® "Passwort vergessen Formular" zur Verfügung. Über das Formular wird eine E-Mail an den entsprechenden Benutzer verschickt, über die er einen Link zur Vergabe eines neuen Passwortes aufrufen kann. Der entsprechende Benutzer muß hierfür mit einer gültigen E-Mail Adresse in der Benutzerdatei (Benutzerverwaltung) versehen sein.