/
PASSWORDHISTORYLENGTH - Detailbeschreibung

PASSWORDHISTORYLENGTH - Detailbeschreibung

 

Facility Management Header.png

Überblick

  • Parameter:PASSWORDHISTORYLENGTH

  • Kategorie: Login

  • Standardwert:5

  • Produkt: eTASK.Login

Was macht dieser Parameter?

Dieser Parameter legt fest, wie viele der zuletzt verwendeten Passwörter eines Benutzers gespeichert werden. Wenn ein Benutzer sein Passwort ändert, wird das neue Passwort mit den gespeicherten alten Passwörtern verglichen. Stimmt das neue Passwort mit einem der gespeicherten Passwörter überein, wird die Änderung abgelehnt. Dadurch wird verhindert, dass Benutzer immer wieder die gleichen Passwörter verwenden.

Wofür wird dieser Parameter verwendet?

  • Erhöhung der Passwortsicherheit durch Verhinderung von Passwort-Wiederverwendung

  • Erfüllung von Compliance-Anforderungen (z.B. ISO 27001, BSI-Grundschutz, DSGVO)

  • Schutz vor Account-Kompromittierung durch erzwungene Passwort-Variation

  • Implementierung von Unternehmens-Sicherheitsrichtlinien für Passwortmanagement

  • Verhinderung von zyklischer Passwortnutzung (z.B. abwechselnd zwischen zwei Passwörtern)

Technische Details (für Administratoren)

Format: Ganzzahl (Integer)
Standardwert: 5
Gültiger Bereich: 0 bis ca. 100 (praktisch 0-20 empfohlen)

Beispiele gültiger Werte:

- 0 = Keine Passworthistorie – Passwörter können beliebig oft wiederverwendet werden (nicht empfohlen)
- 3 = Die letzten 3 Passwörter werden gespeichert und blockiert
- 5 = Die letzten 5 Passwörter werden gespeichert (Standard, entspricht gängigen Sicherheitsrichtlinien)
- 10 = Die letzten 10 Passwörter werden gespeichert (erhöhte Sicherheit)
- 24 = Die letzten 24 Passwörter werden gespeichert (maximale Sicherheit in Kombination mit monatlichem Passwortwechsel = 2 Jahre Historie)

Speicherung: Die Passwörter werden gehasht (verschlüsselt) in der Datenbank gespeichert, nicht im Klartext.

Gültigkeitsbereich: Dieser Parameter gilt ausschließlich für lokal im FM-Portal hinterlegte Passwörter. Bei Anmeldung über Active Directory oder Azure AD greift die Passwortrichtlinie des jeweiligen Verzeichnisdienstes.

Interaktion mit anderen Parametern:

- PASSWORDEXPIRATIONPERIODMONTH: Bestimmt, wie oft Passwörter geändert werden müssen
- PASSWORDMINLENGTH / PASSWORDMAXLENGTH: Legen die Länge der Passwörter fest
- PASSWORDPOLICY: Definiert zusätzliche Anforderungen (Sonderzeichen, Zahlen, etc.)

Wann sollten Sie diesen Wert ändern?

Wert erhöhen (z.B. auf 10 oder mehr), wenn:

  • Ihre Organisation strengere Compliance-Vorgaben hat (z.B. Finanzsektor, Gesundheitswesen)

  • Sie mit hochsensiblen Daten arbeiten

  • Der Parameter PASSWORDEXPIRATIONPERIODMONTH auf einen niedrigen Wert gesetzt ist (z.B. monatlicher Passwortwechsel)

  • Sicherheitsaudits eine umfangreichere Passworthistorie fordern

  • Sie Passwort-Rotation-Angriffe verhindern möchten (schnelles Durchwechseln von Passwörtern, um zum ursprünglichen zurückzukehren)

Wert verringern (z.B. auf 3), wenn:

  • Benutzer sich beschweren, dass sie sich keine neuen Passwörter mehr ausdenken können

  • Sie ein Support-Problem mit vergessenen Passwörtern haben

  • Passwörter sehr selten gewechselt werden müssen (z.B. PASSWORDEXPIRATIONPERIODMONTH = 0 oder > 12 Monate)

  • Keine besonderen Sicherheitsanforderungen bestehen

Wert auf 0 setzen (deaktivieren), wenn:

  • Passwörter niemals oder nur in Ausnahmefällen geändert werden

  • Sie ein anderes Authentifizierungssystem verwenden (z.B. reines Active Directory)

  • Benutzerfreundlichkeit absolute Priorität hat (nicht empfohlen für produktive Systeme)

Wichtige Hinweise

  1. Bestehende Passwort-Historien bleiben erhalten: Wenn Sie den Wert von 5 auf 3 reduzieren, werden die alten Einträge nicht sofort gelöscht, sondern beim nächsten Passwortwechsel des jeweiligen Benutzers angepasst.

  2. Kombinieren Sie mit PASSWORDEXPIRATIONPERIODMONTH: Wenn Passwörter z.B. alle 3 Monate geändert werden müssen (PASSWORDEXPIRATIONPERIODMONTH = 3) und die Historie 5 Passwörter umfasst, können Benutzer erst nach 15 Monaten wieder ihr altes Passwort verwenden.

  3. Benutzer vorab informieren: Erhöhungen der Passworthistorie-Länge sollten kommuniziert werden, um Frustration zu vermeiden – besonders wenn Benutzer ihre bewährten Passwort-Variationen nicht mehr nutzen können.

  4. Technische Umsetzung: Die Passwörter werden als gehashte Werte gespeichert (nicht im Klartext). Dies bedeutet, dass selbst Administratoren die alten Passwörter nicht einsehen können.

  5. Datenbankgröße: Bei sehr vielen Benutzern und einem hohen Wert (z.B. 24) wird mehr Speicherplatz in der Datenbank benötigt. Dies ist in der Praxis jedoch vernachlässigbar.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter ist sicherheitskritisch.

  • Höhere Werte = erhöhte Sicherheit gegen Wiederverwendung kompromittierter Passwörter

  • Verhindert zyklische Passwortnutzung: Benutzer können nicht einfach zwischen zwei oder drei Passwörtern hin- und herwechseln

  • Schutz bei Datenlecks: Falls ein altes Passwort durch ein externes Datenleck bekannt wird, kann es nicht erneut verwendet werden

  • Zusammenspiel mit PASSWORDEXPIRATIONPERIODMONTH: Gemeinsam bilden beide Parameter eine effektive Schutzmaßnahme

  • Gilt NUR für Portal-Passwörter: Bei Active Directory- oder Azure AD-Anmeldung wird die Richtlinie des jeweiligen Verzeichnisdienstes angewendet

  • Wert = 0 ist ein Sicherheitsrisiko: Benutzer können dasselbe Passwort immer wieder verwenden, was bei Kompromittierung gefährlich ist

Risiken bei zu hohen Werten: - Benutzer neigen dazu, Passwörter aufzuschreiben oder in unsicheren Passwort-Managern zu speichern - Erhöhtes Support-Aufkommen durch vergessene Passwörter - Mögliche Umgehungsversuche (z.B. Passwort 5-mal schnell ändern, um zum ursprünglichen zurückzukehren)

Fazit: Änderungen an diesem Parameter haben direkte Auswirkungen auf die Systemsicherheit. Der empfohlene Wert liegt zwischen 5 und 10 Passwörtern, abhängig von den Sicherheitsanforderungen Ihrer Organisation und der Häufigkeit von Passwortwechseln.

Praktisches Beispiel

Ausgangssituation:
Ihre Organisation nutzt das FM-Portal für 500 Mitarbeitende. Die IT-Sicherheitsabteilung hat festgestellt, dass einige Benutzer ihre Passwörter nur geringfügig ändern (z.B. "Passwort1" → "Passwort2" → "Passwort1") und möchte dies unterbinden. Die aktuelle Konfiguration ist: - PASSWORDHISTORYLENGTH = 5 - PASSWORDEXPIRATIONPERIODMONTH = 3 (Passwortwechsel alle 3 Monate)

Szenario 1 - Standard-Nutzung:

- Benutzer "Max Mustermann" muss sein Passwort am 1. Januar ändern
- Er verwendet bisher: "Winter2024!"
- Er versucht, "Sommer2023!" einzugeben (eines seiner letzten 5 Passwörter)
- System: "Dieses Passwort wurde bereits verwendet. Bitte wählen Sie ein neues Passwort."
- Max wählt: "Frühling2025!" (erfolgreich)

Szenario 2 - Erhöhung auf 10: Nach einem Sicherheitsaudit wird PASSWORDHISTORYLENGTH auf 10 erhöht.

Nach der Konfigurationsänderung:

- Beim nächsten Passwortwechsel (1. April) kann Max keines seiner letzten 10 Passwörter verwenden
- Bei vierteljährlichem Wechsel bedeutet dies: Passwörter der letzten 2,5 Jahre sind gesperrt
- Max muss sich neue, kreativere Passwörter ausdenken
- Die Wahrscheinlichkeit sinkt deutlich, dass ein kompromittiertes altes Passwort erneut verwendet wird

Szenario 3 - Absenkung auf 0 (nicht empfohlen): Falls PASSWORDHISTORYLENGTH = 0 gesetzt wird:
- Max kann nach jedem Passwortwechsel sofort wieder sein vorheriges Passwort verwenden
- Er könnte dauerhaft zwischen "Winter2024!" und "Sommer2024!" wechseln
- Sicherheitsrisiko: Falls "Winter2024!" durch ein Datenleck bekannt wird, ist sein Account dauerhaft gefährdet

Ergebnis:
Die Kombination aus PASSWORDHISTORYLENGTH = 5 und PASSWORDEXPIRATIONPERIODMONTH = 3 bedeutet, dass Benutzer erst nach 15 Monaten (5 × 3 Monate) wieder ein altes Passwort verwenden können. Dies bietet einen guten Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.

Empfohlene Einstellung

Für Standard-Installationen ohne besondere Sicherheitsanforderungen:
- PASSWORDHISTORYLENGTH = 5 (Standardwert)
- Kombiniert mit PASSWORDEXPIRATIONPERIODMONTH = 0 (kein erzwungener Wechsel) oder 6 (halbjährlich)

Für Organisationen mit erhöhten Sicherheitsanforderungen (Finanzwesen, Behörden, Gesundheitswesen):
- PASSWORDHISTORYLENGTH = 10 - Kombiniert mit PASSWORDEXPIRATIONPERIODMONTH = 3 (vierteljährlich) oder 6 (halbjährlich)
- Zusammen mit PASSWORDMINLENGTH = 12 und PASSWORDPOLICY = "All"

Für maximale Sicherheit (hochsensible Umgebungen):
- PASSWORDHISTORYLENGTH = 24 - Kombiniert mit PASSWORDEXPIRATIONPERIODMONTH = 1 (monatlich)
- Dies entspricht einer Passworthistorie von 2 Jahren
- Achtung: Hoher Schulungs- und Support-Aufwand erforderlich!

Wichtiger Hinweis: Deaktivieren Sie die Passworthistorie (Wert = 0) nur in Testumgebungen oder wenn Sie ausschließlich Active Directory-Authentifizierung verwenden und keine lokalen Portal-Passwörter nutzen.

IC2882