Volle Kraft voraus: Starke Passwortrichtlinien mit Drupal durchsetzen

Ali Baba und die vierzig Räuber, im 18. Jahrhundert vom französischen Orientalisten Antoine Galland erfunden, schildert die Literaturgeschichte des Passworts. Die Anrufung "Sesam öffne dich!", die in dieser klassischen Erzählung verwendet wurde, um die magisch versiegelte Höhle zu öffnen, ist heute als Schlagwort weit verbreitet.

In der sich schnell entwickelnden digitalen Welt ist die Passwortsicherheit noch wichtiger und erfordert die richtige strategische Perspektive mit starken Richtlinien. Drupal, eine der sichersten Plattformen unter den führenden Content-Management-Systemen, kann mit seinen enormen sicherheitsorientierten Fähigkeiten bei der Durchsetzung von Passwortrichtlinien helfen.

Passwortrichtlinie: Eine genaue Betrachtung

Die Passwortsicherheit wurde durch die Erfindung des Compatible Time-Sharing System und des Unics (Unix)-Systems in die Computerwelt eingeführt. Dies wurde in den 1960er Jahren am Massachusetts Institute of Technology und in den Bell Laboratories entwickelt. Das Konzept des Passworts wurde entwickelt, damit die Benutzer nur während ihrer zugewiesenen Computerzeit Zugriff auf bestimmte Dateien haben.

Eine Passwortrichtlinie ist eine bestimmte Sammlung von Regeln, die eine ordnungsgemäße Speicherung und Nutzung von Passwörtern ermöglicht, bei der Erstellung zuverlässiger und sicherer Passwörter hilft und die Computersicherheit verbessert. Im Allgemeinen ist sie Teil der offiziellen Bestimmungen einer Organisation und kann als Bestandteil von Schulungen zur Sensibilisierung für Sicherheit eingesetzt werden.

Auf welcher Grundlage können Sie eine Passwortrichtlinie formulieren? Eine der besten Sammlungen von Richtlinien für Passwortrichtlinien stammt vom National Institute of Standards and Technology (NIST), das Teil des US-Handelsministeriums ist. Sie haben eine Reihe von Richtlinien für digitale Identitäten erstellt, die eine hervorragende Grundlage für die Erstellung von Passwortrichtlinien bieten.

Die von NIST bereitgestellten Richtlinien betonen die Benutzerfreundlichkeit. Sie besagt, dass übermäßig belastende Passwortrichtlinien oft negative Auswirkungen haben. Wenn die Benutzer beispielsweise gezwungen sind, ihre Passwörter jede Woche zu ändern, werden viele von ihnen schlechte Passwörter wählen.

Sicherheit war schon immer ein Kompromiss zwischen der Minderung von Risiken und der Bequemlichkeit.

Eine Studie von Microsoft zu Passwortstrategien legt nahe, dass einfache Passwörter, die man sich leicht merken kann, für Websites mit geringem Risiko verwendet werden sollten. Komplizierte Passwörter sollten für die Websites reserviert werden, bei denen die Sicherheitsrisiken große Auswirkungen haben. Dieser Vorschlag ist umstritten, veranschaulicht aber den Kompromiss.

Wenn Ihre Website beispielsweise Benutzer dazu auffordert, Felder ihrer Schoßhunde zu teilen, können Sie eine nachsichtige Haltung gegenüber Ihrer Passwortrichtlinie einnehmen. Komplexe Passwörter können für Websites verwendet werden, auf denen Benutzer auf sensible Finanz- oder Gesundheitsdaten zugreifen.

Können Drupal-Module und -Konfigurationen zur Implementierung starker Passwortrichtlinien verwendet werden?

Die umfangreichen Sicherheitsfunktionen von Drupal zur Durchsetzung starker Passwortrichtlinien

Standardmäßig bietet Drupal Anleitungen, wie Sie Ihr Passwort sicherer machen können. Es erzwingt jedoch keine Passwortrichtlinie "out-of-the-box". Um dies zu tun, verfügt es über eine riesige Bibliothek von Modulen, die bei der Durchsetzung strenger Passwortrichtlinien helfen können.

Festlegen von Einschränkungen für Passwörter

Password Policy, ein Drupal-Modul, ermöglicht es Ihnen, eine Reihe von Anforderungen an Passwörter zu stellen, die von den Benutzern erstellt werden. Diese Anforderungen umfassen Länge, Ziffern, Groß- und Kleinschreibung, Interpunktion usw. Sie können beispielsweise festlegen, welche Art von Zeichen und in welcher Menge in einem Passwort verwendet werden können. Es verfügt auch über eine Funktion zum Ablauf von Passwörtern.

Festlegen von Kompositionsregeln

Mit der Passwortrichtlinie können Sie komplizierte Kompositionsregeln für die Passwörter festlegen. Ein anderes Drupal-Modul, Password Strength, bietet jedoch eine benutzerfreundliche Alternative zu präskriptiven Kompositionsregeln. Es bietet eine Echtzeit-Messung der Passwortstärke und eine serverseitige Durchsetzung.

Die NIST-Richtlinien legen nahe, dass Leerzeichen in Passwörtern zulässig sind, was zu benutzerfreundlicheren Richtlinien für Passphrasen beitragen kann. Drupal erlaubt standardmäßig Leerzeichen in Passwörtern.

Falls Sie keine speziellen Sperren benötigen, können Sie die Passwortstärkeprüfung mit einem Drupal-Modul namens Password Strength Disabler deaktivieren und den Benutzern die Möglichkeit geben, sich bei der Erstellung von Passwörtern wohlzufühlen.

Vermeiden von Hinweisen und Erinnerungen

Falls Ihre Website Hinweise und Erinnerungen benötigt, können Sie eine zusätzliche Sperre hinzufügen, indem Sie Sicherheitsfragen beim Anmelden und Zurücksetzen von Passwörtern einbauen. Security Questions, ein Drupal-Modul, hilft Ihnen dabei, dies mit zahlreichen konfigurierbaren Optionen zu erreichen.

Die NIST-Richtlinien legen jedoch nahe, dass es besser ist, Hinweise und Erinnerungen zu vermeiden. Sicherheitsfragen, die relativ leicht zu erraten sind, können verwendet werden, um Benutzerkonten zu kompromittieren.

Drupal bietet jedoch ein weiteres sehr nützliches Modul namens Username Enumeration Prevention, das es Website-Hackern erschweren kann, die Benutzernamen zu finden und Brute-Force-Angriffe zu versuchen.

Nutzung des Authentifizierungsverfahrens

Falls Sie mehr als eine Sperre benötigen, kann das Modul Two-factor Authentication nützlich sein. Es bietet eine zusätzliche Sicherheitsebene für das Authentifizierungsverfahren. Dies können Einmalpasswörter (OTP), per SMS versendete Codes oder vorab generierte Codes sein. Es ermöglicht auch die Integration mit Diensten von Drittanbietern wie Authy, Duo usw.

Ein Authentifizierungs- und Autorisierungsinfrastruktursystem, Shibboleth, ist in der Lage, einzelnen Benutzern einen sicheren, ortsunabhängigen und jederzeitigen Zugriff auf online verfügbare Ressourcen zu gewähren. Shibboleth authentication, ein Drupal-Modul, bietet Benutzerauthentifizierung mit Shibboleth.

Diese Konfrontation im sogenannten Schibboleth-Vorfall im 12. Kapitel des biblischen Richterbuchs beschreibt die früheren Formen der Passwortsicherheit:

"Sprich nun Schibboleth; und er sprach Sibboleth; denn er konnte es nicht richtig aussprechen; da ergriffen sie ihn und erschlugen ihn an den Furten des Jordan."

Implementierung von Rate-Limiting

Drupal bietet standardmäßig Rate-Limiting. Es gibt jedoch keine spezielle Benutzeroberfläche, die eine Konfiguration ermöglicht, die angepasst werden kann. Flood control, ein Drupal-Modul, ermöglicht es Ihnen, die Anzahl der Anmeldeversuche mithilfe einer praktischen Admin-Oberfläche zu begrenzen.

Um das Rate-Limiting noch weiter zu verbessern, kann das Login-Sicherheitsmodul von Vorteil sein. Es hilft, die Anzahl ungültiger Anmeldeversuche zu begrenzen, bevor Konten gesperrt oder der Zugriff per IP-Adresse vorübergehend oder sogar dauerhaft verweigert wird.

Um die Begrenzung der Anmeldeversuche zu erleichtern, indem die Quellen bösartiger Anfragen blockiert werden, bietet das Modul Fail2ban Firewall Integration ein automatisiertes Firewall-Tool.

Verbesserung der Anmeldefunktionen

Wenn Ihre Website sowohl über HTTP als auch über HTTPS verfügbar ist, kann das Modul Secure Login sicherstellen, dass Ihre Benutzeranmeldeformulare oder andere Seiten über HTTPS übertragen werden. Dadurch bleiben die Passwörter vor den neugierigen Blicken von Hackern verborgen.

Es wird immer geschätzt, wenn dem Benutzer die Möglichkeit gegeben wird, eine All-in-One-Anmeldung zu verwenden. Das Modul OneAll Social Login ermöglicht es Benutzern, sich auf Ihrer Website mit ihren Social-Network-Konten wie Facebook, LinkedIn, Twitter, Instagram usw. anzumelden.

Falls ein Benutzer eine E-Mail-Adresse in einem Anmeldeformular falsch eingibt, erhält er keine Bestätigungs-E-Mails, was problematisch sein kann. Das Modul Email Verify überprüft, ob die vom Benutzer eingegebene E-Mail-Adresse existiert oder nicht.

Gänzliches Abschaffen von Passwörtern

Was ist, wenn Sie überhaupt kein Passwort eingeben möchten? Das Modul Passwordless bietet die Möglichkeit, sich anzumelden, ohne überhaupt ein Passwort zu verwenden. Wenn sich ein Benutzer also anmelden muss, wird nur die E-Mail-Adresse benötigt. An diese E-Mail-Adresse wird ein Anmeldelink gesendet, der 24 Stunden lang gültig ist.

Umreißen der besten Praktiken für Passwortrichtlinien

Während Drupal sehr wirksam bei der Durchsetzung starker Passwortrichtlinien ist, ist es unerlässlich, die besten Praktiken zu verstehen, die für die Einbeziehung intelligenter Passwortrichtlinien übernommen werden können.

• Die Übernahme der 8 + 4-Regel kann von Vorteil sein. Sie können 8 Zeichen mit 1 Großbuchstaben und 1 Kleinbuchstaben, einem Sonderzeichen wie einem Sternchen und einer Zahl verwenden. Machen Sie es so zufällig wie möglich. Stellen Sie außerdem sicher, dass die Zahlen und Symbole im gesamten Passwort verteilt sind, um Hacker zu vereiteln.
• Vermeiden Sie die Verwendung persönlicher Informationen wie Ihr Geburtsdatum oder Ihr Nachname usw.
• Verwenden Sie verschiedene Passwörter für verschiedene Konten. Dies kann hilfreich sein, wenn sich mehrere Computer in derselben Abteilung befinden.
• Die Übernahme von Passphrasen in Kombination mit Symbolen und Zahlen kann nützlich sein. Zum Beispiel: Die Sonne wird morgen wieder aufgehen. Halten Sie außerdem die Zeichen in den Passwörtern geringer, die leichter zu merken sind.
• Sie können in Erwägung ziehen, die Passwörter nicht häufig zu ändern, und es ist sicherer, sie nirgendwo aufzuschreiben.
• Geben Sie das Passwort nicht über elektronische Medien weiter.
• Fügen Sie andere Barrieren hinzu, wie z. B. Zwei-Faktor-Authentifizierung und Multi-Faktor-Authentifizierung.
• Legen Sie eine Zahl fest, die den Benutzer aussperrt, nachdem einige erfolglose Versuche unternommen wurden.

Fazit

Die Passwortsicherheit hat sich im Laufe der Jahre im digitalen Bereich weiterentwickelt. Es ist wichtig, eine Reihe von strengen Regeln bei der Bereitstellung von Passwortrichtlinien zu haben. Sie sollten die Benutzer nicht nur dabei unterstützen, schlechte Passwörter zu vermeiden, sondern auch dabei helfen, sichere Passwörter mit hoher Entropie zu verwenden. Drupal bietet eine hervorragende Plattform, um mit seinen erstaunlichen Modulen starke Passwortrichtlinien durchzusetzen.
 
Wir unterstützen Sie nicht nur bei der Drupal-Entwicklung, sondern bieten auch kontinuierliche Support- und Wartungsdienste an. Kontaktieren Sie uns unter [email protected] für die Durchsetzung starker Passwortrichtlinien in Ihrer Geschäftsumgebung.