In diesem Weblogartikel wollen wir uns nicht primär mit einer neuen Erweiterung für den enabler4BIZ auseinandersetzen (obwohl es natürlich wieder etwas Neues gibt), sondern vielmehr mit grundsätzlichen Aspekten der Sicherheit des enabler4BIZ als Webanwendung.
Die Sicherheit einer Webanwendung wird – natürlich neben der grundsätzlichen sicheren Entwicklung der Software selbst1) – vorallem durch zwei Punkte gewährleistet:
- Verwendung einer sicheren (verschlüsselten) Verbindung durch https, deren Einsatz vom enabler4BIZ selbstverständlich unterstützt wird und
- die Sicherheit der Benutzerpasswörter, der wir uns im folgenden im Detail noch widmen wollen.
Passwörter sind die am häufigsten verwendeten Schlüssel heutiger EDV-Sicherheit und genau so sensibel wie Ihr Wohnungs-, Haus- oder Autoschlüssel. Aus diesem Grund setzen auch immer mehr Unternehmen auf eine so genannte Passwort-Policy, in der genau festgelegt ist, wie ein Passwort aufgebaut sein muss und wie oft es geändert werden muss. Diverse im Internet verfügbare Tools unterstützen auch bei der Suche und Auswahl von sicheren Passwörtern.
Auch der enabler4BIZ unterstützt Ihre Passwort-Policy mit folgenden Konfigurationseinstellungen:
- Länge der Passwörter (seit der Version 3.0): Legt fest, aus wie vielen Zeichen ein Passwort mindestens bestehen muss.
- Komplexität der Passwörter (ebenfalls seit der Version 3.0): Legt fest, wie komplex das Passwort sein muss. Hier kann der Einsatz von Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen getrennt definiert werden. Je mehr unterschiedliche Zeichenarten eingesetzt werden (müssen), umso sicherer ist ein Passwort.
- Lebensdauer von Passwörtern (ab Version 4.1.1172): Legt fest nach wie vielen Monaten ein Passwort ungültig wird und geändert werden muss.
- Abwehr von automatisierten Angriffen (ab Version 4.1.1173): Nach mehreren ungültigen Login-Versuchen wird ein Benutzer für eine vordefinierte Zeit gesperrt.
Um die Sache zu vereinfachen empfehlen wir den Einsatz unseres Single Sign-On, mit dem ohne weiteres Zutun die bereits über die zentrale Benutzerverwaltung der IT vorgegebenen Passwortregeln genutzt werden.
Gerne unterstützen wir Sie natürlich bei der Anpassung Ihrer enabler4BIZ-Konfiguration zum Schutz und zur Erhöhung der Sicherheit Ihres Managementsystems. Kontaktieren Sie uns einfach unter 01/877 18 81 oder unter office@logic4biz.com.
1.) Stichwörter für IT-Fachleute: Cross-Site-Scripting, SQL Injection, Brute Force Angriffe,...