Passwortkriterien und Systemparameter

Passwort-Qualitäts-Kriterien

Die Qualitätskriterien für die Passwörter können über die Systemparameter (Spring Beans Konfiguration) eingestellt werden. Folgende Qualitäts-Kriterien existieren (siehe Klasse PoPasswordQuality):

  • validityDays - die Anzahl Tage, nach der das Passwort geändert werden muss.
  • minimalLength - die gesamte minimale Länge
  • requiresUpperAndLowerCharacters -  wenn true müssen sowohl klein- wie auch grossgeschriebene Zeichen vorkommen
  • minimalDigitsCount - minimale Anzahl Ziffern "0-9"
  • minimalSpecialCharactersCount - minimale Anzahl spezieller Zeichen wie "@" oder "!"
  • numberOfDifferingLatestPasswords - minimale Anzahl von verschiedenen Passwörtern, bis eines wiederholt werden darf

Will man den Ablauf von Passwörtern generell deaktivieren, so stellt man die validityDays auf den Wert -1

Für die Passwortverwaltung relevante Systemparameter:

Modul 

 Bean Eigenschaft

Erklärung

Wert(e)

po

PoPasswordQuality

minimalDigitsCount

notwendige Anzahl der Ziffern im neuen Passwort

Zahl einzugeben (z.B. 4)

po 

PoPasswordQuality

minimalLength 

die minimale Länge (Zeichen) des neuen Passworts

Zahl einzugeben (z.B. 6)

po 

PoPasswordQuality

minimalSpecialCharactersCount 

notwendige Anzahl spezieller Zeichen wie "@" oder "!" im neuen Passwort

Zahl einzugeben (z.B. 2)

po 

PoPasswordQuality

numberOfDifferingLatestPasswords 

minimale Anzahl von verschiedenen Passwörtern, bis ein vorheriges Passwort wiederverwendet werden darf

Zahl einzugeben (z.B. 3)

po 

PoPasswordQuality

requiresUpperAndLowerCharacters

wenn true, müssen sowohl klein- wie auch großgeschriebene Zeichen im neuen Passwort vorkommen

"true" oder "false"

po 

PoPasswordQuality

validityDays 

die Anzahl Tage, nach der das Passwort geändert werden muss

Ist diese Zahl 0 so müssen ALLE Passwörter sofort geändert werden. Ist diese Zahl -1, so müsssen die Passwörter NIE geändert werden.

Tagesanzahl einzugeben (z.B. 30)

po 

PoPasswordNewPersonCreated

 explicitRecipient

Empfänger der Mail für die Ersteinrichtung des Passworts, falls nicht die für die Person gepeicherte E-Mail verwendet werden soll

E-Mail Adresse (z.B. empfänger@workflow.at)

po 

PoPasswordNewPersonCreated

 senderMailAddress

die als Absender für die Willkommens-Mail einzusetzende Mail-Adresse

E-Mail Adresse (z.B. welcome@workflow.at)

po 

PoPasswordNewPersonCreated

 subject 

Betreff-Zeile der E-Mail zur Ersteinrichtung des Passworts

Freitext
(z.B. "You need to setup your Webdesk password")

po 

PoPasswordNewPersonCreated

 templateBody 

Mail-Text für neue Personen in Webdesk zur Ersteinrichtung des Passworts. Kann die Variablen $person.firstName und $person.lastName enthalten

Freier Mailtext
(z.B. "

po 

PoPasswordResetMail

explicitRecipient 

Empfänger der Mail zur Passwortänderung, wenn nicht die für die Person gepeicherte E-Mail genommen werden soll

E-Mail Adresse (z.B. empfänger@workflow.at)

po 

PoPasswordResetMail

senderMailAddress

die als Absender einzusetzende Mail-Adresse

E-Mail Adresse (z.B. password-service@workflow.at)

po 

PoPasswordResetMail

subject 

Betreff-Zeile der Mail

Freitext
(z.B.: "Your Webdesk password has been reset")

po 

PoPasswordResetMail

templateBody 

Mail-Text; muss die Variable $password (das neue Passwort) und kann $person.xxx (Personen-Daten) enthalten

Freier Mailtext, z.B.:

<html><body>Your webdesk password has been <b>reset</b>, please change it as soon as possible! Current password:<br/> $password Sincerly,Your Webdesk Administraton</body></html>

po 

PoPasswordResetPolicy

forcePasswordChangeAfterReset

Auswahl, ob eine Passwortänderung  nach dem Zurücksetzen des Passworts durch den Administrator zwingend erforderlich ist (true = ja) 

"true" oder "false"

po 

PoPasswordResetPolicy 

forcePasswordChangeAfterResetToRandomPassword 

Auswahl, ob nach dem Zurücksetzen des Passworts per E-Mail-Link ("Passwort vergessen?") eine Änderung des zufällig per Mail zugewiesenen Passworts nach dem Login zwingend erforderlich ist (true = ja)

"true" oder "false"

po 

PoPasswordResetPolicy 

standardResetPassword 

Standard-Passwort, auf das rückgesetzt wird, falls „useUsernameAsStandardPassword“ auf false gesetzt ist 

Freitext, Eingabe eines Standard-Passworts (z.B. "webdesk")

po 

PoPasswordResetPolicy 

useUsernameAsStandardPassword 

Auswahl, ob der UserName beim zurücksetzen des Passworts als Standardpasswort verwendet werden soll

"true" oder "false"

In "Erweiterte Funktionen" befinden sich bei den "Modul-spezifische Aktionen" zwei neue Aktionen in der Select-Box:

  • Alle Passwörter zurücksetzen
    alle Passwörter werden auf jenen Wert zurückgesetzt, den die Password-Reset-Policy angibt
  • Alle Passwörter zurücksetzen auf Zufallswerte und Mails senden
    alle Passwörter werden auf  durch einen Zufalls-Generator erzeugte Werte gesetzt, und jedes dieser Passwörter wird in einer Mail an den entsprechenden Benutzer gesandt; Mail-Benachrichtigung erfolgt nur, wenn der Benutzer eine Mail-Adresse hat.

Funktion "angemeldet bleiben"

Die Funktion "angemeldet bleiben" ist als Hilfe für jene System-Installationen gedacht, wo kein SingleSignOn mit dem Betriebssystem vorgesehen ist. Damit der Benutzer nicht jedes Mal sein Passwort neu eingeben muss, kann beim Einloggen die Option "angemeldet bleiben" gewählt werden und dadurch wird beim nächsten Aufruf von Webdesk von demselben Browser (im Kontext desselben Windows Benutzers!) innerhalb eines Zeitraums von 7 Tagen die letztgemerkte Benutzer/Passwort Kombination verwendet, um ein automatische Login zu versuchen.
Benutzername u. Passwort werden dabei verschlüsselt in Cookies am Browser gespeichert.  Wie ist das Sicherheitsrisiko einzuschätzen? Wenn jemand Zugang zum Computer des Benutzers hat und sich mit seinem Windows User einloggen kann, so kann er auch seinen Webdesk öffnen (analog zum klassischen SSO Szenario). Darüberhinaus werden die Infos nirgendwo zusätzlich gespeichert.

Damit diese Funktion verwendet werden kann, muss der Systemparameter  po->AuthenticationOptions->allowRememberMe auf true gesetzt werden.

Kommentare (0)