EStudy Wiki:ProjektStrongPasswords

Aus THM-Wiki
Wechseln zu: Navigation, Suche

Strong Passwords - sichere Passwörter für eStudy

Im Wintersemester 06/07 wurde im Rahmen des Kurses 'Methoden des Softwareentwicklungsprozesses' (MSP) das Projekt "Strong Passwords" durchgeführt. Das Projektziel lautete: Verbesserung der Sicherheit durch starke Benutzerpasswörter. eStudy verwaltet viele personenbezogene Daten. Um Missbrauch vorzubeugen, werden die Benutzer mehr in die Pflicht genommen.

Um das Projektziel zu erreichen, wurde die Passwortverarbeitung innerhalb von eStudy vereinheitlicht. Aktuelle Richtlinien zur Passwortsicherheit sind in die Vereinheitlichung eingeflossen. Benutzer mit einem schwachen Passwort werden davon in Kenntnis gesetzt. Hilfestellungen sind ebenfalls verfügbar.

eStudy enthält eine fortschrittliche Sicherheitsimplementierung. Schwache Passwörter sind jedoch das schwächste Glied in der Sicherheits-Kette. Projektziel war die Beseitigung der schwachen Passwort-Problematik. Wie man hier nachlesen kann, ist eine solche Gefahr nicht unrealistisch (auch wenn im konkreten Fall kein kompromittierter Zugang von nöten war).

Implementierte Features

Die folgenden Features wurden implementiert:

  • Einheitliche Passwortkriterien für alle Passwörter innerhalb eStudy
  • Prüfung beim Einloggen und bei Passwortänderung (nicht für LDAP-Nutzer)
  • Anmeldesperrung bei wiederholten Fehlversuchen mit 'exponential backoff'
  • Benutzer werden bei schwachen Passwörtern benachrichtigt und erhalten Hilfestellung beim Ändern des Passwortes
  • Der Administrator kann die Passwortrichtlinien anpassen, die Benutzermeldungen sind entsprechend angepasst
  • Die Kurspasswörter und die extenen Tools entsprechen den Portalweiten Passwortrichtlinien

Informationen zu den Features

Passwortkriterien

Die Passwortkriterien sind vom Administrator konfigurierbar. Eine Übersicht:

Das Passwort muss

  • minimal 8 Zeichen lang sein (Admin kann einen höheren Wert festlegen)
  • Gross- und Kleinbuchstaben enthalten
  • Sonderzeichen und/oder Zahlen enthalten (einstellbar)
  • nicht in der Wortliste enthalten sein

Die momentan verfügbare Wortliste umfassst ca. 5.000.000 Begriffe. Die Begriffe wurden aus der cracklib und den Titel-Begriffen der deutschen und englischen Wikipedia entnommen.

Wird ein neues Passwort vergeben, so muss es den eingestellten Anforderungen entsprechen. Sollte das Passwort eines Benutzers nicht den Richtlinien entsprechen, so erhält dieser eine PM. In der PM werden die nicht erfüllten Bedingungen aufgeführt (z.B. "Ihr Passwort ist zu kurz").


Prüfung der Passwörter

Geprüft wird bei Anmeldung und Änderung eines Benutzerpasswortes. Bei Passwortänderungen werden nur sichere Passwörter akzeptiert. Passwörter von LDAP-Benutzer können nicht von eStudy verwändert werden. Das DVZ hat eigene Richtlinien für sichere Passwörter. Die Passwort-Richtlinien des DVZ sind nicht kompatibel mit den Richtlinien von eStudy. Ein Benutzer kann daher ein Passwort beim DVZ angeben, welches jedoch beim einloggen in eStudy als unsicheres Passwort angeprangert wird.

Die Passwörter für die externen Tools (Wiki, Mantis und XPWeb) werden nur bei der Neuvergabe eines Passwortes überprüft. Der Loginprozess wird von den jeweiligen Tools durchgeführt. Ein direktes einloggen in die externen Tools ist somit gewährleistet.

Kurspasswörter werden ebenfalls geprüft. Kurspasswörter betreffen jedoch hauptsächlich Dozenten (siehe Kurspasswörter).


Benutzersperrung bei wiederholten fehlgeschlagenen Anmeldeversuchen

Nach drei fehlgeschlagenen Anmeldeversuchen wird der Benutzer für einen kurzen Zeitraum gesperrt. Bei weiteren Fehlversuchen erhöht sich die Sperrdauer. Eine Brute-Force-Attacke wird durch die Maßnahme langwierig.

Der Administrator kann die Sperrung jederzeit wieder aufheben.


Benachrichtigung der Benutzer

Benutzer mit unsicherem Passwort erhalten eine PM. Die PM enthält folgende Informationen:

  • die Schwächen des aktuellen Passwortes
  • die Portalrichtlinien für ein sicheres Passwort
  • einen Link, der dem Benutzer die Änderung seines Passwortes ermöglicht

Die PM wird bei der Anmeldung versendet.


Hilfe bei der Passworterstellung

Bei der Passwortänderung von reinen eStudy-Benutzern (keine LDAP-Benutzer) schlägt eStudy ein sicheres Passwort vor. Das vorgeschlagene Passwort erfüllt die aktuell geltenden Richtlinien. Das Passwort dient nur zur Hilfestellung und sollte nicht direkt als neues Passwort vergeben werden.


Kurspasswörter

Dozenten können den Zugang zu einem Kurs durch die Angabe eines Kurspasswortes beschränken. Das Passwort ist optional. Wird ein Passwort vergeben, so muss es die Passwort-Richtlinien erfüllen.

Implementierung

Das Projekt Strong Passwords wurde im XP-Vorgehensmodell durchgeführt. Die Teamkommunikation lief zu weiten Teilen über eStudy und Jabber-Chat ab. Außerdem wurden die externen Tools verwendet. Besonders die Tools XPWeb und Mantis waren bei der Umsetzung der formalen Anforderung hilfreich. Die Entwicklung wurde im Rahmen des eStudy-Planspielmoduls geführt und dokumentiert.

Zusammenfassung und Ausblick

Die implementierten Features sind geeignet, um den Schutz vor kompromittierten Accounts mittel- bis langfristig stark zu verbessern. Die etwas schwächere Regelung für bestehende external Tools-Passwörter wird dadurch relativiert, dass diese Passwörter selten weitere Zugänge ermöglichen und ausserdem per SSL übertragen werden.

Bei der Implementierung sind eine Reihe von Problemen aufgefallen, die im Rahmen zukünftiger Arbeiten angegangen werden können:

  • durch bessere Integration der external Tools könnten die gesonderten Passwörter dafür wegfallen, oder nur für solche Benutzer geführt werden, die sich ohne eStudy dort einloggen möchten.
  • Die Sperrung durch wiederholte Fehlversuche ist an die Benutzer gekoppelt. Das ist zwar so beabsichtigt, hat aber die Schwäche den legitimen Benutzer auch auszusperren. Dieser bemerkt so das Problem, muss sich aber an den Admin wenden. Die Alternativen, wie eine IP-Sperre, müssen sehr sorgfältig umgesetzt werden, um nicht selber zur Zielscheibe von Angriffen zu werden und auch möglichst wenig legitime Benutzer auszusperren.


-- Team "Strong Passwords" 14:35, 15. Mär. 2007 (CET)