/
FAILEDLOGINCOUNTERWITHINMINUTES - Detailbeschreibung

FAILEDLOGINCOUNTERWITHINMINUTES - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:FAILEDLOGINCOUNTERWITHINMINUTES
Kategorie: Login
Standardwert: 0
Produkt: eTASK.Login

Was macht dieser Parameter?

Dieser Parameter definiert das Zeitfenster in Minuten, innerhalb dessen aufeinanderfolgende fehlgeschlagene Anmeldeversuche gezählt werden. Er steuert, wann der Zähler für Fehlversuche zurückgesetzt wird und arbeitet eng mit dem Parameter LOCKOUTTHRESHOLD zusammen, um automatische Kontosperrungen zu ermöglichen.

Wofür wird dieser Parameter verwendet?

  • Definition des Zeitfensters für die Zählung fehlgeschlagener Login-Versuche

  • Schutz vor Brute-Force-Angriffen durch zeitbasierte Fehlversuchszählung

  • Automatische Kontosperrung bei zu vielen Fehlversuchen innerhalb kurzer Zeit

  • Flexibilität zwischen strengen Sicherheitsrichtlinien und Benutzerfreundlichkeit

Technische Details (für Administratoren)

Format: Ganzzahl (Integer) - Zeitangabe in Minuten
Standardwert: 0

Gültige Werte:

  • 0 = Alle aufeinanderfolgenden Fehlversuche werden gezählt, unabhängig vom Zeitabstand

  • 1 bis n = Nur Fehlversuche innerhalb der angegebenen Minuten werden gezählt

Wichtige Hinweise:

  • Bei Wert 0 wird der Zähler erst nach erfolgreicher Anmeldung zurückgesetzt

  • Bei Wert > 0 werden nur Fehlversuche innerhalb des Zeitfensters addiert

  • Eine erfolgreiche Anmeldung setzt den Zähler immer zurück

  • Der Parameter funktioniert nur in Kombination mit LOCKOUTTHRESHOLD > 0

Abhängige Parameter:

  • LOCKOUTTHRESHOLD: Anzahl der Fehlversuche bis zur Kontosperrung

  • LOCKOUTDURATIONMINUTES: Dauer der automatischen Kontosperrung

Wann sollten Sie diesen Wert ändern?

Wert auf eine Minutenzahl setzen (z.B. 5 oder 10), wenn:

  • Sie einen Brute-Force-Schutz mit Zeitfenster implementieren möchten

  • Benutzer gelegentliche Tippfehler machen dürfen, ohne gesperrt zu werden

  • Ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit gewünscht ist

  • Fehlversuche über einen längeren Zeitraum nicht akkumuliert werden sollen

Wert auf 0 belassen (Standard), wenn:

  • Strengste Sicherheitsrichtlinien gelten

  • Jeder Fehlversuch unabhängig vom Zeitpunkt gezählt werden soll

  • Eine einfache Fehlversuchszählung ohne Zeitfenster ausreicht

  • LOCKOUTTHRESHOLD ebenfalls auf 0 steht (Kontosperrung deaktiviert)

Wichtige Hinweise

  1. Zusammenspiel mit LOCKOUTTHRESHOLD
    Dieser Parameter funktioniert nur, wenn LOCKOUTTHRESHOLD auf einen Wert > 0 gesetzt ist. Beide Parameter zusammen bilden den Brute-Force-Schutz.

  2. Wert 0 bedeutet unbegrenzte Akkumulation
    Bei Standardwert 0 werden alle Fehlversuche gezählt, egal wie lange sie zurückliegen. Der Zähler wird erst bei erfolgreicher Anmeldung zurückgesetzt.

  3. Zeitfenster-Beispiel
    Bei einem Wert von 5 werden nur Fehlversuche der letzten 5 Minuten gezählt. Ein Fehlversuch von vor 6 Minuten wird nicht mehr berücksichtigt.

  4. Zurücksetzen des Zählers
    Der Fehlversuchszähler wird in zwei Situationen zurückgesetzt: Bei erfolgreicher Anmeldung oder wenn Fehlversuche außerhalb des definierten Zeitfensters liegen.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, eine Änderung hat direkte Auswirkungen auf die Sicherheit gegen Brute-Force-Angriffe.

  • Bei Wert 0 (Standard) werden alle Fehlversuche akkumuliert - maximale Sicherheit, aber weniger benutzerfreundlich

  • Bei höheren Werten wird ein Zeitfenster eingeführt - ausgewogene Balance zwischen Sicherheit und Usability

  • Zu hohe Werte (z.B. 60 Minuten) schwächen den Brute-Force-Schutz erheblich

  • Der Parameter sollte in Kombination mit einem sinnvollen LOCKOUTTHRESHOLD konfiguriert werden

Empfohlene Sicherheitskonfiguration:

  • FAILEDLOGINCOUNTERWITHINMINUTES: 5-15 Minuten

  • LOCKOUTTHRESHOLD: 3-5 Fehlversuche

  • LOCKOUTDURATIONMINUTES: 15-30 Minuten

Fazit: Der Parameter ist sicherheitsrelevant und sollte entsprechend der Unternehmensrichtlinien konfiguriert werden. Ein Wert zwischen 5 und 15 Minuten bietet einen guten Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.

Praktisches Beispiel

Ausgangssituation:
Ein Unternehmen hat FAILEDLOGINCOUNTERWITHINMINUTES auf 0 und LOCKOUTTHRESHOLD auf 3 gesetzt. Ein Benutzer macht einen Tippfehler beim Passwort, korrigiert ihn am nächsten Tag, macht erneut einen Fehler und wird nach dem dritten Versuch gesperrt - obwohl die Versuche über Tage verteilt waren.

Konfiguration:
Der Administrator ändert FAILEDLOGINCOUNTERWITHINMINUTES auf 10 (10 Minuten).

Nach der Änderung:

  • Ein Benutzer gibt dreimal hintereinander das falsche Passwort ein

  • Nach 11 Minuten versucht er es erneut mit falschen Daten

  • Der vorherige Fehlversuchszähler wird zurückgesetzt, da mehr als 10 Minuten vergangen sind

  • Der Zähler startet bei 1, nicht bei 4 - der Benutzer wird nicht gesperrt

  • Bei drei Fehlversuchen innerhalb von 10 Minuten würde die Sperrung greifen

Ergebnis:
Benutzer werden nur bei wiederholten Fehlversuchen in kurzer Zeit gesperrt, nicht bei vereinzelten Tippfehlern über längere Zeiträume. Dies verbessert die Benutzererfahrung ohne den Brute-Force-Schutz zu gefährden.

Empfohlene Einstellung

Für Standard-Installationen:10(10 Minuten)

Begründung:

  • Bietet effektiven Schutz gegen automatisierte Brute-Force-Angriffe

  • Verhindert Sperrung bei gelegentlichen Tippfehlern über längere Zeit

  • Ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit

  • Entspricht gängigen IT-Sicherheitsstandards

Alternative Konfigurationen:

  • Hochsicherheitsumgebungen:5 Minuten - strengerer Schutz

  • Benutzerfreundliche Umgebungen:15 Minuten - mehr Toleranz für Fehler

  • Maximale Sicherheit:0 - alle Fehlversuche werden gezählt

Tipp: Kombinieren Sie diesen Parameter mit LOCKOUTTHRESHOLD = 3-5 und LOCKOUTDURATIONMINUTES = 15-30 für eine ausgewogene Sicherheitskonfiguration. Testen Sie die Einstellungen in einer Testumgebung, bevor Sie sie in Produktion übernehmen.

IC0000