Der heutige internationale Tag der Katastrophenvorbeugung ist eine gute Gelegenheit, um über Passwortrichtlinien nachzudenken. Diese bilden das Fundament der Nutzerkonten- und -datensicherheit von Online-Portalen und sollten deshalb eine gewisse Aufmerksamkeit erfahren. Eine Passwortrichtlinie umfasst die verschiedenen Regeln für das Erstellen eines Passworts und bestimmt damit dessen Stärke. Diesem Satz von Regeln muss ein Passwort stets gleichzeitig entsprechen. Wird ein vom Nutzer bestimmtes Passwort der Richtlinie nicht gerecht, so ist dieser bei der Registrierung oder beim Zurücksetzen des Passworts darauf hinzuweisen.

Für eine Liferay-Installation können Sie entweder die Liferay-eigene Standardrichtlinie verwenden oder administrativ eine eigene Richtlinie erstellen. Diese können Sie dann einzelnen Benutzern oder Organisationen zuweisen oder für die gesamte Liferay-Instanz als neuen Standard festlegen.

Wann gilt ein Passwort als sicher?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Nutzern Folgendes:

• Bei der Verwendung von nur zwei verschiedenen Zeichenkategorien, beispielsweise einer Abfolge von Wörtern, ist eine Länge von 20 bis 25 Zeichen mindestens erforderlich. In diesem Fall handelt es sich dann um ein langes Passwort, das weniger komplexe Elemente enthält.
• Bei der Verwendung von vier verschiedenen Zeichenkategorien ist eine Länge von 8 bis 12 Zeichen zwingend. Hierbei handelt es sich dann um ein kürzeres Passwort, das jedoch eine höhere Komplexität aufweist.
• Bei weniger oder genau 8 Zeichen und drei verschiedenen Zeichenkategorien ist das Passwort zusätzlich durch eine Mehr-Faktor-Authentifizierung abzusichern, wie beispielsweise einem Fingerabdruck, einer Bestätigung per App oder einer PIN. Dies ist aber generell eine empfehlenswerte Sicherheitsmaßnahme.

Ein gutes Passwort kann folglich in verschiedenen Formen auftreten, entweder "kurz und komplex" oder "lang und weniger komplex". Um katastrophale, also kurze und weniger komplexe Passwörter auszuschließen, bedarf es also einer Passwortrichtlinie, die den Nutzer bei der Wahl eines Passwortes leitet.

Die Standardeinstellung von Liferay

Die Liferay-Installation enthält bereits standardmäßig eine eigene Passwortrichtlinie. Diese ist jedoch sehr rudimentär und entspricht nicht unbedingt den Vorgaben des BSI – am besten bearbeiten Sie die Richtlinie oder erstellen gleich eine neue nach Ihren Vorstellungen.

Hinzufügen und Konfigurieren von Passwortrichtlinien

Um einer Liferay-Installation eine neue Passwortrichtlinie hinzuzufügen, öffnen Sie das Applikationsmenü und klicken auf den Karteireiter “Control Panel”, anschließend ein weiteres Mal im Abschnitt Sicherheit auf den Menüpunkt “Password Policy” (siehe Abbildung 1).
Sie werden feststellen, dass bereits eine Standard-Passwortrichtlinie im System hinterlegt ist. Diese kann bei Bedarf wie jede andere Ressourcen auch bearbeitet werden. Um aber eine neue Richtlinie hinzuzufügen, klicken Sie einfach auf die “+” Schaltfläche (siehe Abbild 2).

Es öffnet sich eine neue Seite und Sie werden aufgefordert, der neuen Passwortrichtlinie zunächst einen Namen zu geben und diese zu beschreiben. Nun können Sie die spezifischen Regeln bestimmen, denen jedes Passwort entsprechen muss (siehe Abbildung 3).

Für folgende Bereiche einer Liferay-Installation lassen sich Regeln festlegen:

• Passwort-Änderungen: Erlauben oder untersagen Sie Benutzern das Ändern ihrer Passwörter und legen Sie eine Zeitbegrenzung für die Gültigkeit von Passwortzurücksetzungslinks fest.

• Passwort-Syntaxüberprüfung: Wenn diese Option aktiviert ist, müssen Benutzer eine bestimmte Syntax verwenden, wenn sie ein Passwort erstellen. In diesem Abschnitt können Sie Wörter aus Wörterbüchern verbieten, eine Mindestlänge festlegen und mehr.

• Passwort-Verlauf: Wenn diese Option aktiviert ist, legen Sie fest, wie viele Passwörter im Verlauf gespeichert werden sollen, um zu verhindern, dass Benutzer ein altes Passwort erneut verwenden.

• Passwort-Ablauf: Entscheiden Sie hier, ob Passwörter mit der Zeit verfallen. Wenn ja, geben Sie an, wie lange Passwörter gültig sind, wann und ob eine Warnung gesendet wird und wie oft Benutzer sich nach Ablauf des Passworts einloggen können, bevor sie ein neues Passwort festlegen müssen (sogenanntes Grace-Limit).

• Sperrung: Wenn diese Option aktiviert ist, legen Sie eine maximale Anzahl fehlgeschlagener Authentifizierungsversuche fest, bevor das Konto gesperrt wird. Außerdem geben Sie an, wie lange die Anzahl der Versuche gespeichert wird und wie lange die Sperrung dauert.

Einen besonderen Stellenwert hat vor allem die Syntaxregel. Hier können Sie beispielsweise den Empfehlungen des BSI folgen und Regeln für lange und weniger komplexe Passwörter festlegen (siehe Abbildung 4).

Nutzer zuweisen

Nachdem Sie die Richtlinie nach Ihren Wünschen konfiguriert haben, klicken Sie zuletzt auf den Button "Speichern”, um die Richtlinie zur Liste der Passwortrichtlinien hinzuzufügen. Nun müssen Sie die neue Passwortrichtlinie nur noch den Nutzern oder Nutzergruppen zuweisen, damit diese in Kraft tritt.

Dazu öffnen Sie das Optionsmenü der Richtlinie in der Übersicht und wählen den Menüpunkt “Nutzer zuordnen” aus (siehe Abbildung 5).
Hier haben Sie die Wahl, einzelne Benutzer oder gleich ganze Organisationen direkt zuzuweisen. Nachdem Sie Ihre Zuweisungen gespeichert haben, tritt die neue Passwortrichtlinie in Kraft.

Fazit: Digitaler Katastrophenschutz leicht gemacht

Passwortrichtlinien sind ein wichtiger Bestandteil für mehr Sicherheit im Netz. Liferay stellt Ihnen dafür ein einfaches und bequemes Tool zur Verfügung, mit dem Sie beispielsweise die Regeln des BSI problemlos umsetzen können. Die standardmäßig eingestellte Default Password Policy dürfte für die meisten Zwecke nicht ausreichend sein, ist aber in nur wenigen Schritten auf Ihre Wünsche angepasst. So stellen Sie sicher, dass Ihre Nutzer ein starkes Passwort verwenden.