/
LOCKOUTDURATIONMINUTES - Detailbeschreibung

LOCKOUTDURATIONMINUTES - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:LOCKOUTDURATIONMINUTES
Kategorie: Login
Standardwert: 30
Produkt: eTASK.Login

Was macht dieser Parameter?

Legt die Dauer der Sperre in Minuten fest, wenn mehrere Fehlversuche bei der Anmeldung im Portal auftreten. Der Standardwert ist 30 Minuten. Bei einem Wert von 0 kann das Konto nur von Portal-Verwaltenden entsperrt werden. Nach Ablauf der festgelegten Sperrdauer wird das Benutzerkonto automatisch entsperrt und der Benutzer kann sich erneut anmelden.

Wofür wird dieser Parameter verwendet?

  • Automatische Kontosperrung nach zu vielen Fehlversuchen

  • Schutz vor Brute-Force-Angriffen auf Benutzerkonten

  • Zeitlich begrenzte Sperrung zur Balance zwischen Sicherheit und Benutzerfreundlichkeit

  • Automatische Entsperrung ohne Administrator-Eingriff

  • Reduzierung des administrativen Aufwands bei versehentlichen Fehlversuchen

  • Einhaltung von Sicherheitsrichtlinien und Compliance-Anforderungen

  • Abschreckung von automatisierten Anmeldeangriffen

Technische Details (für Administratoren)

Format: Ganzzahl (Integer)
Standardwert: 30

Gültige Werte:

  • 0 = Permanente Sperre - Konto kann nur manuell von Portal-Verwaltenden entsperrt werden

  • 1 bis 999999 = Anzahl der Minuten bis zur automatischen Entsperrung

Wichtige Hinweise:

  • Die Sperrdauer beginnt ab dem Zeitpunkt des letzten fehlgeschlagenen Anmeldeversuchs

  • Nach Ablauf der Sperrdauer wird das Konto automatisch entsperrt

  • Bei Wert 0 ist manuelle Entsperrung durch Administratoren erforderlich

  • Der Fehlversuchszähler wird nach erfolgreicher Anmeldung zurückgesetzt, nicht nach Entsperrung

  • Die Sperrung greift nur, wenn die Anzahl der Fehlversuche den Schwellenwert überschreitet

Zusammenspiel mit anderen Parametern:

  • LOCKOUTTHRESHOLD: Definiert die Anzahl der Fehlversuche, ab der das Konto gesperrt wird

  • FAILEDLOGINCOUNTERWITHINMINUTES: Legt das Zeitfenster fest, in dem Fehlversuche gezählt werden

Wann sollten Sie diesen Wert ändern?

Wert auf 30 belassen (Standard), wenn:

  • Standardsicherheit für typische Unternehmensumgebungen ausreichend ist

  • Balance zwischen Sicherheit und Benutzerfreundlichkeit gewünscht wird

  • Moderate Sicherheitsanforderungen bestehen

  • Keine speziellen Compliance-Vorgaben existieren

  • Administratoren nicht ständig Entsperrungen durchführen sollen

Wert auf 15-20 reduzieren (Kürzere Sperre), wenn:

  • Höhere Benutzerfreundlichkeit gewünscht wird

  • Häufige versehentliche Fehleingaben vorkommen

  • Geringe Sicherheitsbedrohung besteht

  • Schneller Zugriff nach kurzer Sperrung wichtig ist

  • Benutzer nicht lange warten sollen

Wert auf 60-120 erhöhen (Längere Sperre), wenn:

  • Erhöhte Sicherheitsanforderungen bestehen

  • Sensible Daten geschützt werden müssen

  • Compliance-Vorgaben längere Sperrzeiten erfordern

  • Häufige Angriffe auf Benutzerkonten beobachtet werden

  • Abschreckung von Angreifern verstärkt werden soll

Wert auf 0 setzen (Permanente Sperre), wenn:

  • Maximale Sicherheit erforderlich ist

  • Nur Administratoren Konten entsperren dürfen

  • Sehr hohe Sicherheitsstufe für kritische Systeme besteht

  • Jede Kontosperrung manuell überprüft werden soll

  • Regulatorische Anforderungen dies vorschreiben

  • Verdächtige Aktivitäten untersucht werden müssen

Wichtige Hinweise

  1. Automatische Entsperrung vs. Manuelle Entsperrung
    Bei Werten größer 0 erfolgt die Entsperrung automatisch nach Ablauf der Zeit. Bei Wert 0 müssen Administratoren jedes gesperrte Konto manuell entsperren, was zu erhöhtem Support-Aufwand führt.

  2. Berechnung ab letztem Fehlversuch
    Die Sperrdauer beginnt mit dem letzten fehlgeschlagenen Anmeldeversuch. Weitere Fehlversuche während der Sperrzeit verlängern die Sperre nicht automatisch.

  3. Koordination mit LOCKOUTTHRESHOLD
    LOCKOUTDURATIONMINUTES wirkt nur, wenn die in LOCKOUTTHRESHOLD definierte Anzahl von Fehlversuchen überschritten wird. Beide Parameter müssen aufeinander abgestimmt sein.

  4. Auswirkung auf Benutzerfreundlichkeit
    Zu kurze Sperrzeiten schwächen den Schutz, zu lange Sperrzeiten frustrieren legitime Benutzer. Wählen Sie einen Wert, der beide Aspekte berücksichtigt.

  5. Keine rückwirkende Wirkung
    Die Änderung des Parameters wirkt sich nur auf neue Sperrungen aus. Bereits gesperrte Konten behalten ihre ursprüngliche Sperrdauer.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, eine Änderung des Parameters hat erhebliche Auswirkungen auf die Sicherheit.

Positive Aspekte:

  • Effektiver Schutz vor Brute-Force-Angriffen durch zeitliche Sperrung

  • Automatisierte Angriffe werden deutlich verlangsamt

  • Verhindert schnelle aufeinanderfolgende Passwort-Rateversuche

  • Balance zwischen Sicherheit und Verfügbarkeit bei angemessener Konfiguration

  • Abschreckende Wirkung auf potenzielle Angreifer

Zu beachten:

  • Zu kurze Sperrzeiten (unter 10 Minuten) bieten unzureichenden Schutz

  • Zu lange Sperrzeiten können zu Denial-of-Service führen, wenn Angreifer absichtlich Konten sperren deren Benutzernamen sie kennen

  • Wert 0 erfordert administrative Kapazitäten für manuelle Entsperrungen

  • Sehr lange Sperrzeiten können legitime Benutzer aussperren

  • Angreifer könnten gezielt viele Konten sperren deren Benutzernamen sie kennen, um Störungen zu verursachen

  • Kombiniert mit niedrigem LOCKOUTTHRESHOLD können versehentliche Sperrungen zunehmen

Datenschutzrechtliche Bewertung:

  • Account-Sperrmechanismus ist legitimes Sicherheitsinteresse

  • Sperrungen sollten protokolliert werden für Nachvollziehbarkeit

  • Benutzer sollten über Sperrmechanismus informiert werden

  • Automatische Entsperrung minimiert unnötige Eingriffe in Nutzungsrechte

Empfehlung: Verwenden Sie für Standard-Produktionsumgebungen einen Wert zwischen 30-60 Minuten. Dies bietet effektiven Schutz gegen Brute-Force-Angriffe und ermöglicht gleichzeitig automatische Entsperrung ohne übermäßige Benutzerfrustration. Vermeiden Sie Wert 0 außer in hochsicheren Umgebungen, wo manuelle Überprüfung jeder Sperrung erforderlich ist. Koordinieren Sie den Wert mit LOCKOUTTHRESHOLD für ein ausgewogenes Sicherheitskonzept.

Praktisches Beispiel

Ausgangssituation: Ein Unternehmen verwendet LOCKOUTDURATIONMINUTES=5 (5 Minuten Sperre) und LOCKOUTTHRESHOLD=3 (3 Fehlversuche). Der Helpdesk meldet, dass verdächtige Anmeldeversuche auf verschiedene Konten registriert werden. Die Security-Analyse zeigt, dass Angreifer systematisch Passwörter testen.

Konfiguration: Der Administrator erhöht LOCKOUTDURATIONMINUTES auf 60 Minuten.

Nach der Änderung:

  • Nach den ersten 3 Fehlversuchen wird das Konto für 60 Minuten gesperrt (statt 5 Minuten)

  • Nach Ablauf der Sperrzeit steht dem Angreifer ein weiterer Fehlversuch zur Verfügung, bevor das Konto erneut für 60 Minuten gesperrt wird

  • Ein Angreifer kann realistisch nur etwa 25-30 Passwörter pro Tag testen (alle 60 Minuten ein Versuch) statt vorher 290

  • Bei komplexen Passwörtern mit vielen Millionen Kombinationen ist ein erfolgreicher Angriff praktisch ausgeschlossen

  • Legitime Benutzer, die ihr Passwort vergessen haben, können nach maximal einer Stunde einen weiteren Versuch unternehmen oder den Helpdesk kontaktieren

  • Die Anzahl verdächtiger Anmeldeversuche sinkt deutlich

Ergebnis: Signifikant verbesserter Schutz gegen Brute-Force-Angriffe. Die Kombination aus Schwellenwert und längerer Sperrzeit macht automatisierte Angriffe praktisch wirkungslos, da der Fehlversuchszähler erst nach erfolgreicher Anmeldung zurückgesetzt wird. Mit nur einem Versuch pro Stunde sind Brute-Force-Angriffe nicht mehr durchführbar.

Alternative Szenarien:

Szenario A - Hochsicherheitsumgebung:

  • LOCKOUTDURATIONMINUTES=0 (permanente Sperre)

  • LOCKOUTTHRESHOLD=3

  • Nach 3 Fehlversuchen permanente Sperre

  • Jede Sperrung muss vom Security-Team untersucht werden

  • Manuelle Entsperrung nach Identitätsüberprüfung und Zähler-Reset

  • Maximaler Schutz für sensible Finanzdaten

  • Erhöhter administrativer Aufwand akzeptiert

Szenario B - Benutzerfreundliche Umgebung:

  • LOCKOUTDURATIONMINUTES=15

  • LOCKOUTTHRESHOLD=5

  • Moderate Sicherheit bei höherer Benutzerfreundlichkeit

  • Benutzer haben 5 initiale Versuche, danach alle 15 Minuten einen weiteren

  • Geeignet für interne Systeme ohne externe Exposition

  • Hinweis an Benutzer: Bei mehreren Fehlversuchen Helpdesk kontaktieren statt zu warten

Szenario C - Compliance-Anforderung:

  • LOCKOUTDURATIONMINUTES=120 (2 Stunden)

  • LOCKOUTTHRESHOLD=3

  • Erfüllt strenge Finanzbranche-Sicherheitsstandards

  • Nach 3 Fehlversuchen nur noch ein Versuch alle 2 Stunden möglich

  • Brute-Force-Angriffe praktisch unmöglich (max. 12 Versuche/Tag)

  • Dokumentierte Sicherheitsmaßnahme für Audits

  • Benutzer werden über Richtlinie vorab informiert und aufgefordert, bei Passwort-Problemen direkt den Helpdesk zu kontaktieren

Empfohlene Einstellung

Für Standard-Installationen:30(30 Minuten)

Begründung:

  • Ausgewogene Balance zwischen Sicherheit und Benutzerfreundlichkeit

  • Effektiver Schutz gegen Brute-Force-Angriffe

  • Automatische Entsperrung ohne Administrator-Eingriff

  • Moderate Wartezeit für legitime Benutzer

  • Entspricht gängigen Sicherheits-Best-Practices

 

Wichtig: Koordinieren Sie LOCKOUTDURATIONMINUTES mit LOCKOUTTHRESHOLD.

Tipp: Überwachen Sie in den ersten Wochen nach der Konfiguration die Login-Statistiken. Wenn viele legitime Benutzer gesperrt werden, erhöhen Sie LOCKOUTTHRESHOLD oder reduzieren Sie LOCKOUTDURATIONMINUTES. Wenn Sie häufige Angriffe beobachten, erhöhen Sie LOCKOUTDURATIONMINUTES. Dokumentieren Sie Ihre Konfiguration und begründen Sie sie für Compliance-Audits.

IC0000