Schaden vermeiden: Passwort Policy in Weblication®

Um ein entsprechendes Sicherheitsniveau der Weblication® CMS Anmeldedaten (Benutzername und Passwort) zu gewährleisten, sollten Regeln für die Vergabe und Gültigkeit von Passwörtern festgelegt werden.

Regeln für die Einhaltung eines entsprechenden Sicherheitsniveaus für Logindaten sind unverzichtbarer Bestandteil eines Internet-Portales. Nur so können Sie den Benutzern beim Anmelden das erforderliche Gefühl von Sicherheit vermitteln, gerade in Bezug auf deren Login-Daten und den Informationen, die in passwortgeschützten Bereichen zur Ansicht freigegeben sind. Dies betrifft natürlich auch die Möglichkeit der redaktionellen Einflußnahme, welche nicht durch ausspionierte oder gehackte Login-Daten mißbraucht werden darf!

Mögliche Kriterien für eine Passwort Policy

Nachfolgend finden Sie eine Auswahl an Kriterien, die zu einer Passwort Policy festgelegt werden können:

  • Passwortlänge
    z.B. mindestens 11 Zeichen
  • Keine bekannten Namen / Wörter
    z.B. keine Namen oder bekannte Wörter aus einem Wörterbuch - auch nicht von Fremdsprachen
  • Zusammenhang Loginname und Passwort
    z.B. sollte das Passwort nicht den Benutzernamen enthalten
  • Kein Rückschluß über Benutzerdaten
    z.B. sollte das Passwort keinen Bezug zum Benutzer (Geburtsdatum, Wohnort, Verbindung zu Freundes-/Familienkreis, etc.) besitzen
  • Verschiedene Kategorien an Zeichensätzen
    z.B. sollte das Passwort aus einer Mischung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen
  • Passwort selber setzen
    z.B. sollte das Passwort bei (Erst-)Vergabe durch Dritte unverzüglich geändert werden
  • Passwort sicher verwahren
    z.B. sollte das Passwort nicht unverschlüsselt digital oder handschriftlich abgelegt werden
  • Regelmäßige Passwortänderung
    z.B. sollte dsa Passwort in bestimmten Intervallen (halbjährlich, jährlich, ...) geändert werden
  • Übertragen der Anmeldedaten über eine gesicherte Verbindung (HTTPS / SSL)
    Weblication® unterstützt standardmässig den Einsatz unter HTTPS mit SSL-Zertifikaten

Möglichkeiten zur Umsetzung einer Passwort Policy in Weblication®

Stand: September 2016

Um mögliche Kriterien für eine Passwort Policy umsetzen zu können, stehen Ihnen in Weblication® mehrere Möglichkeiten und Funktionen zur Verfügung, welche unter anderem sind:

  • Passwortregeln festlegen
    Die Sicherheitsstufe für ein Passwort legen Sie global in den Systemeinstellungen fest und entscheiden in Formularen bei Passwortangabe, ob diese globalen Einstellungen dort auch greifen sollen (z.B. Weblics® wie Benutzerregistrierung, Passwort ändern Formular).
  • Änderungsintervalle und Gültigkeitszeitraum
    Für eine gewünschte Passwortänderung kann ein Änderungsintervall und auch ein Gültigkeitsdatum festgelegt werden (Benutzerverwaltung)
  • Sicherheitsstufe für Passwortqualität
    Für die Änderung über das System-Formular lässt sich eine für alle Benutzer geltende Sicherheitsstufe für die Passwortqualität einstellen (minSecureLevel)
    Die einstellbare Sicherheitsstufe kann auf die Benutzerverwaltung erweitert werden, sofern Pflegebenutzer diese freigeschaltet bekommen (Modul "Redakteure pflegen Benutzer").
  • Passwort ändern Formular
    Zum Ändern des Passwortes steht zum einen eine System-Maske und auch ein Weblic® "Passwort ändern Formular" zur Verfügung.
  • Eigener Algorithmus
    Soll ein eigener Algorithmus genutzt werden, kann über die pre.php definiert werden, welches Formular zum Ändern des Passwortes statt des System-Formulares aufgerufen werden soll.
  • Salt: Gesalzene Passwörter
    Auf Anfrage teilen wir Ihnen gerne mit, wie Sie gesalzene Passwörter verwenden können (Wikipedia-Artikel: Salt (Kryptologie))

Einen Artikel, wie Sie die Ablaufzeit des Passwortes neu setzen, finden Sie hier ("Benutzer: Paßwortgültigkeit neu setzen"). Weiter unten finden Sie die Möglichkeiten, um auf abgelaufende Passwörter reagieren zu können.

Ein Benutzer vom Benutzertyp "Aministrator" hat grundsätzlich immer alle Rechte und kann somit auf die Regeln für die Passwort Policy Einfluß nehmen! Ein Administrator sollte daher nur an entsprechend versierte Personen vergeben werden und ein sehr sicheres Passwort gesetzt haben!

Passwort ändern

Um ein Passwort nach Erstvergabe oder einem bestimmten Zeitraum aus Sicherheitsgründen ändern zu können, stehen Ihnen zum einen eine System-Maske und auch ein Weblic® "Passwort ändern Formular" zur Verfügung.

Über die pre.php können Sie definieren, wie das Verhalten bei abgelaufenem Passwort sein soll:

Auszug aus der pre.php des globalen Projektes zu Passwort-Einstellungen

// ...
// Legt fest, ob bei abgelaufenem Passwort die Maske zum Ändern des Passwortes angezeigt werden soll. Mögliche Werte sind: '' oder 'once' für einmal anzeigen, 'never' für nie anzeigen, 'always' für bei jedem Aufruf anzeigen
// Mögliche Werte sind:
// - '' oder 'once' für einmal anzeigen
// - 'never' für nie anzeigen
// - 'always' für bei jedem Aufruf anzeigen
$preVars['openMaskChangePasswordIfExpired'] = 'always';

// URL, die aufgerufen wird, falls die Maske zum Ändern des Passwortes angezeigt werden soll.
$preVars['urlChangePasswordIfExpired'] = '';
// ...

Auszug aus der pre.php des globalen Projektes zu Passwort-Einstellungen - alternative Abfrage

// ...
// Abfrage, ob das Passwort abgelaufen ist und ggf. auf Passwort Ändern Formular weiterleiten (ggf. verzögert über JS):
$urlChangePwd = "/de/passwort-aendern.php"; // Pfad an eigene Pfade anpassen!
if(wUserCur::hasPasswordExpired() == TRUE && wRequest::getPath() != $urlChangePwd){
print
'Ihr Passwort ist abgelaufen! (Benutzername: <strong>'.wUserCur::getName().'</strong>)';
wResponse::redirect($urlChangePwd);
}
// ...

Passwort vergessen

Sollten ein Passwort in Vergessenheit geraten sein, steht Ihnen ein Weblic® "Passwort vergessen Formular" zur Verfügung. Über das Formular wird eine E-Mail an den entsprechenden Benutzer verschickt, über die er einen Link zur Vergabe eines neuen Passwortes aufrufen kann.  Der entsprechende Benutzer muß hierfür mit einer gültigen E-Mail Adresse in der Benutzerdatei (Benutzerverwaltung) versehen sein.

In den weiterführenden Links finden Sie weitere nützliche Quellen rund um das Thema Sicherheit von Passwörtern!