Version 3.0.2

Regeln für sichere Passwörter

In der Publikation 800-63B hat das amerikanische National Institute of Standards and Technology (NIST) im Juni 2017 neue Regeln für sichere Passwörter veröffentlicht, die alte, häufig benutzte Vorgaben für nicht mehr zeitgemäß erklären und neue Empfehlungen ausspricht.

Die sollen es Benutzern einfacher machen, sichere Passwörter zu verwenden und dennoch eine hohe Sicherheit ermöglichen. Zu den neuen Empfehlungen gehört:

  • Keine komplexen Passwort-Regeln wie z. B. “mindestens ein Großbuchstabe, ein Sonderzeichen und eine Zahl” mehr, da sie die Sicherheit kaum erhöhen und stattdessen Benutzer dazu verleiten, sich die komplizierten Passwörter aufzuschreiben.

  • Kein unnötiger Kennwortwechsel. Benutzer neigen dann eher dazu, unsicherere Passwörter zu verwenden, die sie sich leichter merken können.

  • Keine Sicherheitsfragen oder Passwort-Erinnerungen ermöglichen.

Stattdessen gehört zu den neuen Empfehlungen, eine Mindestlänge von Passwörtern zu verlangen und sehr lange Passwörter mit allen druckbaren Unicode-Zeichen zu erlauben, damit Benutzer auch ganze Sätze als Passphrase verwenden können. Die wichtigste neue Empfehlung ist, unsichere Passwörter beliebiger Länge zu blockieren, damit Benutzer diese gar nicht erst verwenden können. Dazu gehören bespielsweise häufig benutze Passwörter wie “password123”, Geburtsdaten oder aber auch Passwörter, die durch Wörterbuch-Attacken einfach erraten werden können.

docs365 documents unterstützt schon seit immer lange Passwörter mit bis zu 255 beliebigen Unicode-Zeichen. In dieser Version neu hinzugekommen sind eine höhere (ab jetzt konfigurierbare) Mindestlänge von Passwörtern und eine automatische Bewertungsfunktion, die unsichere Passwörter blockiert.

In der settings.ini sind dafür in der Sektion [General] zwei neue Optionen hinzugekommen:

min_password_length = 8
min_password_score = 2

min_password_length gibt die Mindestlänge für neue Passwörter an, die Vorgabe ist 8 Zeichen. Erlaubt sind hier Werte zwischen 4 und 255 Zeichen, wobei für Produktivumgebnungen eine Mindestlänge von weniger als 8 Zeichen nicht empfohlen wird.

min_password_score konfiguriert die erfolderliche Passwort-Sicherheit. Bei neuen Passwörtern wird anhand einiger Heuristiken und Wörterbüchern unsicherer Passwörter ein Score zwischen 0 und 4 berechnet, wobei 0 sehr unsichere und 4 sehr sichere Passwörter sind. Wenn ein Passwort einen Score unter min_password_score hat, wird es nicht erlaubt. Die Einstellung min_password_score = 0 erlaubt daher alle Passwörter.

In dieser Version ist die Vorgabe für min_password_score noch 0, sodass zunächst alle Passwörter mit einer Mindestlänge von 8 Zeichen erlaubt sind. In einer zukünfigten Version wird min_password_score dann voraussichtlich auf einen höheren Wert voreingestellt.

Fehlerbehebungen

  • Wenn der MIME-Type einer Dateierweiterung unbekannt war oder dieser auf dem Webserver nicht über die Windows-Registry ermittelt werden konnte, konnte es beim Download eines Dokuments zu einem Internal Server Error kommen.

  • Wenn ein Active Directory eingestellt ist, wurde auch lokalen Benutzern kein Passwortwechsel im Benutzer-Dialog ermöglicht.

  • Wenn der Suchbaum auf ein Textfeld konfiguriert war und dieses Textfeld einen Zahlenwert enthielt, kam es beim Aufklappen des Suchbaumknotens zu einem Internal Server Error.