/
PASSWORDPOLICY - Detailbeschreibung

PASSWORDPOLICY - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:PASSWORDPOLICY
Kategorie: Login
Standardwert: All
Produkt: eTASK.Login

Was macht dieser Parameter?

PASSWORDPOLICY legt die Komplexitätsanforderungen für Passwörter fest, die Benutzer bei der Erstellung oder Änderung ihres Passworts im eTASK FM-Portal erfüllen müssen. Der Parameter definiert, ob Passwörter Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen oder Kombinationen davon enthalten müssen. Diese Regeln gelten nur für lokal im Portal verwaltete Passwörter, nicht für Domänen-Anmeldungen.

Wofür wird dieser Parameter verwendet?

  • Passwort-Sicherheit erhöhen: Erzwingt die Verwendung komplexer Passwörter mit verschiedenen Zeichentypen

  • Compliance-Anforderungen erfüllen: Ermöglicht die Umsetzung von Unternehmens- oder Branchenrichtlinien für Passwortstärke

  • Brute-Force-Angriffe erschweren: Komplexere Passwörter sind schwerer zu erraten oder durch automatisierte Angriffe zu knacken

  • Benutzer-Anleitung: Zeigt Benutzern bei der Passworterstellung an, welche Anforderungen erfüllt werden müssen

  • Flexible Sicherheitsstufen: Erlaubt Anpassung der Sicherheitsanforderungen an die Risikoeinschätzung der Organisation

Technische Details (für Administratoren)

Format: Kommaseparierte Liste von Regeln
Standardwert: All

Gültige Werte:

  • Digit = Passwort muss mindestens eine Zahl (0-9) enthalten

  • UpperCase = Passwort muss mindestens einen Großbuchstaben (A-Z) enthalten

  • LowerCase = Passwort muss mindestens einen Kleinbuchstaben (a-z) enthalten

  • MixedCase = Passwort muss mindestens einen Groß- oder Kleinbuchstaben enthalten (Kurzform für UpperCase,LowerCase)

  • SpecialChar = Passwort muss mindestens ein Sonderzeichen enthalten (!§$%&/()=?*_:;-#+{}[])

  • All = Passwort muss allen vorangegangenen Regeln entsprechen (Kurzform für Digit,UpperCase,LowerCase,SpecialChar)

Wichtige Hinweise:

  • Mehrere Regeln können durch Komma getrennt kombiniert werden (z.B. Digit,UpperCase,LowerCase)

  • Die Reihenfolge der Regeln spielt keine Rolle

  • Groß-/Kleinschreibung bei den Regelbezeichnungen muss beachtet werden

  • Die Regeln gelten nur für lokal verwaltete Passwörter, nicht für Active Directory-Anmeldungen

  • Ungültige Regelbezeichnungen werden ignoriert

Zusammenspiel mit anderen Parametern:

  • PASSWORDMINLENGTH: Definiert die Mindestlänge des Passworts (Standard: 8 Zeichen)

  • PASSWORDMAXLENGTH: Definiert die maximale Länge des Passworts (Standard: 24 Zeichen)

  • PASSWORTINVALIDCHARS: Definiert verbotene Zeichen in Passwörtern

  • PASSWORDHISTORYLENGTH: Verhindert Wiederverwendung alter Passwörter

  • PASSWORDEXPIRATIONPERIODMONTH: Erzwingt regelmäßigen Passwortwechsel

Wann sollten Sie diesen Wert ändern?

Wert auf All belassen (Standardwert), wenn:

  • Höchste Sicherheitsanforderungen gewünscht sind

  • Compliance-Vorgaben alle Zeichentypen erfordern

  • Sensible Daten im System verwaltet werden

  • Keine spezifischen Gründe für Lockerung vorliegen

  • Die Standardeinstellung den Unternehmensrichtlinien entspricht

Wert auf Kombination setzen (z.B. Digit,MixedCase), wenn:

  • Sonderzeichen zu Problemen bei der Eingabe führen (z.B. internationale Tastaturen)

  • Eine moderate Sicherheitsstufe ausreicht

  • Benutzer-Akzeptanz durch einfachere Regeln erhöht werden soll

  • Spezifische Unternehmensrichtlinien andere Kombinationen vorgeben

Wert auf einzelne Regel setzen (z.B. Digit), wenn:

  • Minimale Komplexitätsanforderungen ausreichen

  • Interne Test- oder Entwicklungsumgebungen betrieben werden

  • Benutzer ausschließlich mit anderen Sicherheitsmechanismen arbeiten (z.B. Multi-Faktor-Authentifizierung)

Wichtige Hinweise

  1. Nur für lokale Passwörter
    Diese Passwortrichtlinie gilt ausschließlich für Benutzer, die sich mit lokal im eTASK FM-Portal verwalteten Passwörtern anmelden. Domänen-Anmeldungen über Active Directory unterliegen den Richtlinien des Active Directory und werden von diesem Parameter nicht beeinflusst.

  2. Benutzer-Feedback bei Passworterstellung
    Bei der Erstellung oder Änderung eines Passworts zeigt das System automatisch an, welche Anforderungen erfüllt werden müssen. Benutzer erhalten klare Rückmeldungen, wenn ihr Passwort die Vorgaben nicht erfüllt.

  3. Kombination mit Passwortlänge
    Die Komplexitätsregeln arbeiten zusammen mit den Parametern PASSWORDMINLENGTH und PASSWORDMAXLENGTH. Ein sehr kurzes Passwort kann selbst bei höchster Komplexität unsicher sein. Empfohlen wird eine Mindestlänge von 8-12 Zeichen in Kombination mit der Regel All.

  4. Sonderzeichen können Probleme verursachen
    Bei internationalen Benutzern oder mobilen Geräten kann die Eingabe von Sonderzeichen schwierig sein. Erwägen Sie in solchen Fällen die Regel Digit,MixedCase statt All.

  5. Änderungen betreffen nur neue Passwörter
    Bestehende Passwörter werden nicht automatisch auf die neuen Regeln geprüft. Benutzer müssen ihre Passwörter nur beim nächsten Passwortwechsel anpassen.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter hat direkte und erhebliche Auswirkungen auf die Sicherheit des Systems.

Positive Aspekte:

  • Starke Passwortrichtlinien (z.B. All) erhöhen die Sicherheit erheblich und erschweren Brute-Force-Angriffe

  • Kombination verschiedener Zeichentypen macht Passwörter schwerer zu erraten

  • Schutz vor einfachen, häufig verwendeten Passwörtern (z.B. "passwort", "12345678")

  • Compliance mit Sicherheitsstandards und Datenschutzrichtlinien (z.B. ISO 27001, DSGVO)

Zu beachten:

  • Zu lockere Einstellungen (z.B. nur Digit) bieten nur minimalen Schutz und können zu Sicherheitslücken führen

  • Zu strenge Einstellungen können Benutzer dazu verleiten, Passwörter aufzuschreiben oder vorhersehbare Muster zu verwenden (z.B. "Passwort1!")

  • Die Passwortstärke hängt auch von der Länge ab – kurze Passwörter bleiben selbst mit allen Regeln unsicher

  • Nur lokale Passwörter betroffen – Domänen-Benutzer unterliegen anderen Richtlinien

Datenschutzrechtliche Bewertung:

  • Starke Passwortrichtlinien sind eine technische Maßnahme im Sinne der DSGVO (Art. 32)

  • Sie schützen personenbezogene Daten vor unbefugtem Zugriff

  • Bei Datenschutzverletzungen kann nachgewiesen werden, dass angemessene Sicherheitsmaßnahmen implementiert waren

Empfehlung: Verwenden Sie mindestens Digit,MixedCase für normale Umgebungen und All für Systeme mit sensiblen Daten. Kombinieren Sie Passwortrichtlinien immer mit anderen Sicherheitsmaßnahmen wie Passwortalterung (PASSWORDEXPIRATIONPERIODMONTH), Passwort-Historie (PASSWORDHISTORYLENGTH) und Kontosperrung (LOCKOUTTHRESHOLD).

Praktisches Beispiel

Ausgangssituation: Ein Facility-Management-Unternehmen nutzt die Standardeinstellung All. Einige Außendienstmitarbeiter beschweren sich, dass die Eingabe von Sonderzeichen auf ihren Tablets umständlich ist und zu häufigen Fehleingaben führt. Das IT-Team möchte eine ausgewogene Lösung zwischen Sicherheit und Benutzerfreundlichkeit finden.

Konfiguration:

Parameter: PASSWORDPOLICY
Vorher: All
Nachher: Digit,MixedCase

Nach der Änderung:

  • Passwörter müssen weiterhin mindestens eine Zahl enthalten

  • Passwörter müssen weiterhin Groß- und Kleinbuchstaben enthalten

  • Sonderzeichen sind nicht mehr zwingend erforderlich

  • Benutzer können Passwörter wie "Facility2026" oder "Gebaeude42" verwenden

  • Außendienstmitarbeiter können Passwörter auf Tablets problemlos eingeben

Ergebnis: Die Benutzerakzeptanz steigt deutlich, während das Sicherheitsniveau weiterhin hoch bleibt. Die Kombination aus Zahlen und gemischten Groß-/Kleinbuchstaben bietet ausreichende Komplexität für die meisten Anwendungsfälle. Das IT-Team dokumentiert die Änderung in der Sicherheitsrichtlinie und weist Benutzer an, mindestens 10 Zeichen zu verwenden.

Alternative Szenarien:

Szenario A - Hochsicherheitsbereich:

  • Bank oder Versicherung mit strengen Compliance-Anforderungen

  • PASSWORDPOLICY = All

  • PASSWORDMINLENGTH = 12

  • PASSWORDEXPIRATIONPERIODMONTH = 3

  • Maximale Sicherheit für hochsensible Daten

Szenario B - Testumgebung:

  • Interne Entwicklungs- und Testumgebung ohne produktive Daten

  • PASSWORDPOLICY = Digit

  • PASSWORDMINLENGTH = 6

  • Erleichterte Anmeldung für Entwickler, keine sensiblen Daten gefährdet

Empfohlene Einstellung

Für Standard-Installationen:All(höchste Sicherheit)

Begründung:

  • Maximale Passwortsicherheit durch Kombination aller Zeichentypen

  • Erfüllt die meisten Compliance- und Sicherheitsstandards

  • Bietet optimalen Schutz vor automatisierten Angriffen

  • Entspricht Best Practices für Passwort-Sicherheit

Für moderate Sicherheitsanforderungen:Digit,MixedCase

  • Guter Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit

  • Ausreichend für die meisten Geschäftsanwendungen

  • Vermeidet Probleme bei Sonderzeichen-Eingabe auf mobilen Geräten

  • Höhere Benutzerakzeptanz

Nicht empfohlen: Einzelne Regeln wie nur Digit oder nur MixedCase

  • Zu geringe Komplexität für produktive Systeme

  • Nur für Test- oder Entwicklungsumgebungen vertretbar

Tipp: Kombinieren Sie PASSWORDPOLICY immer mit PASSWORDMINLENGTH (mindestens 8-12 Zeichen) und PASSWORDHISTORYLENGTH (mindestens 5) für umfassenden Passwortschutz. Erwägen Sie zusätzlich PASSWORDEXPIRATIONPERIODMONTH für regelmäßigen Passwortwechsel bei sensiblen Daten.

IC0000