EStudy Wiki:StrongPasswords

Aus THM-Wiki
Wechseln zu: Navigation, Suche

Sichere Passwörter für eStudy

Im Wintersemester 06/07 wurde im Rahmen des Kurses 'Methoden des Softwareentwicklungsprozesses' (MSP) ein Projekt durchgeführt, das die Verbesserung der Sicherheit von eStudy zum Ziel hat. eStudy verwaltet viele personenbezogene Daten, und um Missbrauch vorzubeugen, wurde entschieden die Benutzer mehr in die Pflicht zu nehmen.

Um das zu erreichen, wurde die Passwortbehandlung in eStudy vereinheitlicht und an übliche Gepflogenheiten im Bereich Passwortsicherheit angepasst. Insbesondere werden Benutzer, die ein wenig sicheres Kennwort haben, auf das Problem aufmerksam gemacht. Hilfestellungen sind ebenfalls verfügbar.

eStudy enthält eine fortschrittliche Sicherheitsimplementierung. Daher sind schwache Passwörter das schwächste Glied in der Kette, was hiermit behoben werden soll. Wie man hier nachlesen kann, ist eine solche Gefahr nicht unrealistisch.


Features

  • Einheitliche Passwortkriterien innerhalb eStudy
  • Prüfung derselben beim Einloggen und bei Passwortänderung (letzteres nicht für LDAP-Nutzer)
  • Anmeldesperrung bei wiederholten Fehlversuchen mit 'exponential backoff'
  • Benutzer werden gegebenenfalls Benachrichtigt
  • Benutzer erhalten Hilfestellung zum Ändern des Passwortes
  • Die Kurspasswörter und die externen Tools müssen ebenfalls sicher sein

Für die Prüfung des Login-Passwortes werden keinerlei Klartextinformationen gespeichert.

Informationen zu den Features

Passwortkriterien

Die Passwortkriterien sind vom Administrator einstellbar, daher können diese Informationen abweichen. An geeigneter Stelle werden die tatsächlichen Kriterien aber angezeigt.

Das Passwort muss

  • minimal 8 Zeichen lang sein
  • Groß- und Kleinbuchstaben enthalten
  • Sonderzeichen und Zahlen enthalten
  • nicht in der Wortliste enthalten sein

Die momentan verfügbare Wortliste umfasst ca. 5.000.000 Begriffe aus deutscher und englischer Wikipedia sowie der cracklib.

Wenn ein Passwort diese Kriterien erfüllt, wird es von eStudy als sicher akzeptiert. Nur dann kommt kein Hinweis.


wann Passwörter geprüft werden

Geprüft wird bei Anmeldung und Änderung eines Benutzerpasswortes. Wenn der Benutzer seine Passwörter ersetzt, werden nur sichere Passwörter akzeptiert. Das umfasst leider nicht die grösste Benutzergruppe, die LDAP-Benutzer, die vom DVZ vergeben werden. Das LDAP-Passwort kann daher auch auf ein Passwort gesetzt werden, das von eStudy nicht als sicher akzeptiert wird.

Die Passwörter für die externen Tools, also Wiki, Mantis und XPWeb, werden nur bei der Neuvergabe überprüft. Der Hintergrund ist, dass externe Tools auch ohne eStudy aufgerufen werden können.

Auch Kurspasswörter werden geprüft, was aber nur für Dozenten interessant ist. (Siehe unten)


Benutzersperrung bei wiederholt fehlgeschlagenen Anmeldeversuchen

Wenn ein Benutzer sein Passwort bei der Anmeldung an eStudy 3 mal (1 Fehlversuch) falsch eingibt, wird er zunächst für einen kurzen Zeitraum gesperrt. Bei wiederholten Fehlversuchen wird die Sperrdauer erhöht. So wird einer Brute-Force-Attacke der Wind aus den Segeln genommen.

Der Administrator kann diese Sperrung aber jederzeit manuell wieder aufheben.


Benachrichtigung der Benutzer

Benutzer, deren Passwort bei der Anmeldung nicht als sicher eingestuft wurde, werden per PM benachrichtigt. Die PM enthält folgende Informationen:

  • die Schwächen des aktiven Passwortes
  • die aktuellen Mindestanforderungen an ein sicheres Passwort
  • Einen Link, der dem Benutzer die Anpassung seines Passwortes ermöglicht

Die PM wird einmal pro Anmeldung versendet.


Hilfe bei der Passworterstellung

Für Benutzer, die sich selbst registriert haben, kann eStudy bei der Passwortänderung ein sicheres Passwort als Orientierung vorschlagen. Dieses basiert auf dem vorherigen Passwort und entspricht den geltenden Richtlinien. Trotzdem kann es meist noch stark vereinfacht werden, ohne das es die Richtlinien verletzen würde.


Kurspasswörter

Dozenten können ein Kurspasswort setzen, das den Kurszugang beschränken soll. Dieses ist jetzt ebenfalls Gegenstand der eStudy-Passwortrichtlinie, ist aber grundsätzlich optional. Es gibt also entweder ein sicheres oder kein Kurspasswort.

-- Team "Strong Passwords" 14:34, 15. Mär. 2007 (CET)