/
LOCKOUTTHRESHOLD - Detailbeschreibung

LOCKOUTTHRESHOLD - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:LOCKOUTTHRESHOLD
Kategorie: Login
Standardwert: 0
Produkt: eTASK.Login

Was macht dieser Parameter?

Legt die Anzahl aufeinanderfolgender Fehlversuche fest, bei denen maximal die in FAILEDLOGINCOUNTERWITHINMINUTES angegebene Zeit vergangen ist, bis das Konto gesperrt wird. Der Standardwert ist 0. Bei einem Wert von 0 wird die Überprüfung nicht durchgeführt und Konten werden niemals automatisch gesperrt, unabhängig von der Anzahl der Fehlversuche.

Wofür wird dieser Parameter verwendet?

  • Schutz vor Brute-Force-Angriffen durch Kontosperrung

  • Definition der Toleranzschwelle für fehlgeschlagene Anmeldeversuche

  • Automatische Aktivierung von Sicherheitsmechanismen bei verdächtigen Aktivitäten

  • Balance zwischen Benutzerfreundlichkeit und Sicherheit

  • Einhaltung von Sicherheitsrichtlinien und Compliance-Vorgaben

  • Abwehr automatisierter Passwort-Rateversuche

  • Reduzierung des Risikos erfolgreicher Account-Kompromittierung

Technische Details (für Administratoren)

Format: Ganzzahl (Integer)
Standardwert: 0

Gültige Werte:

  • 0 = Keine automatische Sperrung - Überprüfung wird nicht durchgeführt

  • 1 bis 999999 = Anzahl der zulässigen Fehlversuche vor Kontosperrung

Wichtige Hinweise:

  • Bei Wert 0 erfolgt KEINE automatische Kontosperrung, unabhängig von Fehlversuchen

  • Der Zähler berücksichtigt nur Fehlversuche innerhalb des in FAILEDLOGINCOUNTERWITHINMINUTES definierten Zeitfensters

  • Nach erfolgreicher Anmeldung wird der Fehlversuchszähler auf 0 zurückgesetzt

  • Die Sperrung erfolgt automatisch, wenn der Schwellenwert erreicht oder überschritten wird

  • Bei manueller Sperrung durch Administratoren greift der Schwellenwert nicht

  • Die Sperrdauer wird durch LOCKOUTDURATIONMINUTES festgelegt

  • Nur aufeinanderfolgende Fehlversuche innerhalb des Zeitfensters werden gezählt

Zusammenspiel mit anderen Parametern:

  • LOCKOUTDURATIONMINUTES: Definiert die Dauer der Sperrung in Minuten nach Erreichen des Schwellenwerts

  • FAILEDLOGINCOUNTERWITHINMINUTES: Legt das Zeitfenster fest, in dem Fehlversuche gezählt werden

Wann sollten Sie diesen Wert ändern?

Wert auf 0 belassen (Standard - Keine Sperrung), wenn:

  • Keine automatische Kontosperrung gewünscht wird

  • Andere Sicherheitsmechanismen vorhanden sind

  • Rein internes System ohne externe Bedrohung vorliegt

  • Benutzerfreundlichkeit absolute Priorität hat

  • Manuelle Kontensperre durch Administratoren bevorzugt wird

Wert auf 3-5 setzen (Strenge Sicherheit), wenn:

  • Hohe Sicherheitsanforderungen bestehen

  • Sensible Daten geschützt werden müssen

  • System von außen erreichbar ist

  • Brute-Force-Angriffe eine realistische Bedrohung darstellen

  • Compliance-Vorgaben strenge Sicherheit erfordern

  • Schneller Schutz vor Angriffen wichtig ist

Wert auf 5-10 setzen (Moderate Sicherheit), wenn:

  • Balance zwischen Sicherheit und Benutzerfreundlichkeit gewünscht wird

  • Moderate Sicherheitsbedrohung besteht

  • Versehentliche Fehleingaben toleriert werden sollen

  • Standard-Unternehmensumgebung vorliegt

  • Benutzer gelegentlich Passwörter vergessen

Wert auf 10+ setzen (Benutzerfreundlich), wenn:

  • Sehr hohe Benutzerfreundlichkeit Priorität hat

  • Geringe Sicherheitsbedrohung besteht

  • Viele versehentliche Fehleingaben erwartet werden

  • Interne Systeme ohne externe Exposition vorliegen

  • Minimale Sicherheitsanforderungen bestehen

Wichtige Hinweise

  1. Wert 0 deaktiviert automatische Sperrung vollständig
    Bei Standardwert 0 erfolgt KEINE automatische Kontosperrung, egal wie viele Fehlversuche auftreten. Dies ist ein erhebliches Sicherheitsrisiko bei extern erreichbaren Systemen.

  2. Koordination mit FAILEDLOGINCOUNTERWITHINMINUTES
    Der Schwellenwert wirkt nur auf Fehlversuche innerhalb des definierten Zeitfensters. Fehlversuche außerhalb dieses Zeitfensters setzen den Zähler zurück.

  3. Manuelle vs. automatische Sperrung
    Administratoren können Konten jederzeit manuell sperren, unabhängig vom Schwellenwert. Der Parameter betrifft nur die automatische Sperrung.

  4. Fehlversuchszähler wird bei Erfolg zurückgesetzt
    Eine erfolgreiche Anmeldung setzt den Zähler auf 0. Weitere Fehlversuche starten dann wieder bei 1.

  5. Zu niedriger Wert kann legitime Benutzer aussperren
    Ein Schwellenwert von 1-2 ist sehr streng und kann Benutzer aussperren, die sich beim ersten Versuch vertippen.

  6. Zu hoher Wert schwächt Sicherheit
    Werte über 10 geben Angreifern viele Versuche und schwächen den Brute-Force-Schutz erheblich.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, eine Änderung des Parameters hat erhebliche Auswirkungen auf die Sicherheit.

Positive Aspekte:

  • Aktivierung (Wert > 0) schützt effektiv vor Brute-Force-Angriffen

  • Begrenzt die Anzahl der Passwort-Rateversuche signifikant

  • Automatische Reaktion auf verdächtige Anmeldeaktivitäten

  • Reduziert Risiko erfolgreicher Account-Kompromittierung

  • Erfüllt gängige Sicherheits-Best-Practices

Zu beachten:

  • Wert 0 (Standard) bietet KEINEN Schutz vor Brute-Force-Angriffen

  • Zu hohe Werte (>10) schwächen den Schutz erheblich

  • Zu niedrige Werte (1-2) können zu häufigen Aussperrungen legitimer Benutzer führen

  • Ohne LOCKOUTDURATIONMINUTES-Konfiguration ist die Sperrung wirkungslos

  • Angreifer können gezielt viele Konten sperren (Denial-of-Service)

  • Bei aktivierter Sperrung müssen Benutzer über die Richtlinie informiert werden

Datenschutzrechtliche Bewertung:

  • Sperrung von Konten ist legitimes Sicherheitsinteresse

  • Fehlversuche sollten protokolliert werden

  • Benutzer sollten über Sperrmechanismus informiert werden

  • Automatische Entsperrung (via LOCKOUTDURATIONMINUTES) minimiert Eingriffe

Empfehlung: Aktivieren Sie LOCKOUTTHRESHOLD mit einem Wert zwischen 3-5 für Produktionsumgebungen mit externer Erreichbarkeit. Verwenden Sie niemals den Standardwert 0 bei öffentlich zugänglichen Systemen. Koordinieren Sie den Wert mit LOCKOUTDURATIONMINUTES und FAILEDLOGINCOUNTERWITHINMINUTES für ein ausgewogenes Sicherheitskonzept. Dokumentieren Sie die Konfiguration für Compliance-Audits.

Praktisches Beispiel

Ausgangssituation: Ein Unternehmen betreibt ein extern erreichbares Portal mit LOCKOUTTHRESHOLD=0 (Standardwert). Das Security-Team stellt fest, dass fehlgeschlagene Anmeldeversuche auf verschiedene Benutzerkonten erfolgen. Automatisierte Bots versuchen eventuell systematisch, Passwörter zu erraten. Da keine automatische Sperrung aktiv ist, können mögliche Angreifer unbegrenzt viele Versuche durchführen.

Konfiguration: Der Administrator setzt LOCKOUTTHRESHOLD=3, LOCKOUTDURATIONMINUTES=60 und FAILEDLOGINCOUNTERWITHINMINUTES=10.

Nach der Änderung:

  • Benutzerkonten werden nach 3 Fehlversuchen innerhalb von 10 Minuten automatisch für 60 Minuten gesperrt

  • Brute-Force-Angriffe werden nach maximal 3 Versuchen blockiert

  • Nach der ersten 60-minütigen Sperrung steht nur noch EIN weiterer Versuch zur Verfügung (Zähler nicht zurückgesetzt)

  • Angreifer können realistisch nur etwa 25-30 Passwörter pro Konto und Tag testen

  • Automatisierte Angriffe werden praktisch wirkungslos

  • Legitime Benutzer haben 3 Versuche, was für normale Tippfehler ausreichend ist

Ergebnis: Massiv verbesserter Schutz gegen Brute-Force-Angriffe bei minimaler Auswirkung auf legitime Benutzer. Die Kombination der drei Parameter schafft ein robustes Sicherheitskonzept, das automatisierte Angriffe effektiv verhindert.

Alternative Szenarien:

Szenario A - Hochsicherheitsumgebung (Finanzsektor):

  • LOCKOUTTHRESHOLD=3

  • LOCKOUTDURATIONMINUTES=120

  • FAILEDLOGINCOUNTERWITHINMINUTES=30

  • Nach 3 Fehlversuchen 2 Stunden Sperre

  • Maximaler Schutz für sensible Finanzdaten

Szenario B - Benutzerfreundliche Umgebung:

  • LOCKOUTTHRESHOLD=5

  • LOCKOUTDURATIONMINUTES=30

  • FAILEDLOGINCOUNTERWITHINMINUTES=15

  • Moderate Sicherheit mit höherer Fehlertoleranz

  • 5 Versuche erlauben gelegentliche Tippfehler

  • Geeignet für Portale mit geringer externer Bedrohung

  • Balance zwischen Schutz und Produktivität

Szenario C - Legacy-System-Migration:

  • Ausgangssituation: LOCKOUTTHRESHOLD=0 (keine Sperrung)

  • Schrittweise Einführung: Phase 1 mit LOCKOUTTHRESHOLD=10, dann monatlich um 2 reduzieren

  • Finale Konfiguration: LOCKOUTTHRESHOLD=3

  • Benutzer gewöhnen sich schrittweise an neue Sicherheitsrichtlinie

  • Helpdesk kann Prozesse und Dokumentation anpassen

  • Reduzierte Anzahl von Support-Anfragen durch sanfte Migration

Empfohlene Einstellung

Für Standard-Installationen:3(3 Fehlversuche)

Begründung:

  • Strenger Schutz vor Brute-Force-Angriffen

  • Geringe Anzahl erlaubter Versuche minimiert Angriffsfläche

  • Ausreichend Toleranz für legitime Benutzer mit Tippfehlern

  • Entspricht gängigen Sicherheits-Best-Practices

  • Erfüllt typische Compliance-Anforderungen

 

Tipp: Überwachen Sie nach Aktivierung die Login-Statistiken für 2-4 Wochen. Achten Sie auf:

  • Anzahl automatischer Sperrungen pro Tag

  • Verhältnis legitimer Benutzer vs. Angreifer

  • Helpdesk-Anfragen wegen gesperrter Konten

  • Muster bei Fehlversuchen

Falls viele legitime Benutzer gesperrt werden, erhöhen Sie den Schwellenwert. Falls Angriffe erfolgen sind, reduzieren Sie ihn. Dokumentieren Sie Ihre Konfiguration und Begründung für Compliance-Audits und Sicherheitsreviews.

IC0000