Verbesserte Absicherung des Logins

Mit der Version 4.3.214 haben wir eine umfassende Erweiterung veröffentlicht, mit der der unerlaubte oder fehlerhafte Zugriff auf den enabler4BIZ noch besser verhindert werden soll.

Wie es bisher war…

Bisher wurden nur Loginversuche bestehender User protokolliert. Bei mehr als 5 ungültigen Login-Versuchen wurde der Zugriff für diesen Benutzer gesperrt. Eine E-Mailbenachrichtigung erging an den User und an die Administratoren. Im Userinterface selbst hat der Benutzer aber nichts mitbekommen. Warum? Ganz einfach: Damit ein eventuell illegaler Angreifer nicht weiß, dass er einen gültigen Usernamen verwendet. Was hingegen vollkommen unentdeckt blieb ist, wenn ein gültiger Benutzer – irrtümlich – versucht, sich mit einem falschen Benutzernamen (Tippfehler) anzumelden. Die Administratoren erhielten zwar diese Nachricht, der User selbst hat es aber meist weiter und weiter probiert…

Die Aufhebung der Sperre erfolgte automatisch durch den enabler4BIZ nach einer Stunde oder manuell durch einen Administrator.

Was ist jetzt neu?

Zusätzlich zum User wird (bei internen enabler4BIZ-Installationen – also wenn der Zugriff nicht über das Internet erfolgt) auch der PC von der enabler4BIZ-Anmeldung gesperrt.

Vorteile

Wenn ein Endgerät gesperrt ist, wird das dem Benutzer unterhalb des Logins angezeigt:

Das heißt, auch wenn ein Benutzer unabsichtlich den falschen Benutzernamen verwendet, bekommt er nach dem fünften Versuch jedenfalls auch im enabler4BIZ eine Warnung angezeigt. Die E-Mailbenachrichtigungen bleiben wie gehabt.

Benutzer- und Endgerätesperren werden getrennt voneinander gezählt. Das bedeutet, wenn sich ein Benutzer zwei mal mit seinem richtigen Benutzernamen und einem falschen Passwort anmeldet und danach noch drei mal mit einem falschen Benutzernamen, wird sein Endgerät gesperrt und er sieht die entsprechende Warnung auf seinem Bildschirm.

Für Administratoren: Die „Unlock User“-Seite in der enabler4BIZ Admin wurde umbenannt und heißt jetzt „Unlock User/Client“. Auf dieser Seite können Benutzer und Endgeräte entsperrt werden:

ACHTUNG, was sich weiterhin nicht ändert: Durch das Zurücksetzen des Passworts durch den Benutzer wird weder die Benutzer- noch die Endgerätesperre aufgehoben. Die Aufhebung der Sperre kann weiterhin nur durch einen Administrator oder automatisch durch Zeitablauf (eine Stunde nach dem letzten erfolglosen Loginversuch) erfolgen.

Ebenfalls unverändert bleibt die Situation bei „externen“ Installationen – also wenn der enabler4BIZ bei uns gehostet ist oder bei Ihrem Hostingpartner läuft und über das Internet darauf zugegriffen wird. In diesem Fall ändert sich nichts an den bisherigen Richtlinien.

Beispiele

Um die Sperren noch transparenter zu machen, hier noch ein paar Beispiele:

  • Jemand meldet sich 5x ungültig mit dem existierenden User „User1“ an:
    • Sowohl Benutzer als auch IP sind gesperrt.
    • Der Benutzer und die Administratoren erhalten eine E-Mailbenachrichtigung.
    • In der Administration scheinen beide Sperren auf. Egal, welche der beiden Sperren aufgehoben werden, es sind danach beide aufgehoben.
  • Jemand meldet sich 5x ungültig mit dem nicht existierenden User „User2“ an:
    • Das Endgerät ist gesperrt.
    • Die Administratoren erhalten eine E-Mailbenachrichtigung.
    • In der Administration scheint aber nur die IP auf (weil es dazu keinen passenden Benutzer gibt). Durchs entsperren wird jedenfalls alles aufgehoben.
  • Jemand meldet sich 2x ungültig mit dem existierenden User „User1“ und 3x mit dem nicht existierenden User „User2“ an der selben Maschine an:
    • Nur das Endgerät ist gesperrt, der Benutzer sind die oben gezeigte Warnung bei seinem Login.
    • Nur die Administratoren werden per E-Mail informiert.
    • Administratoren können die Sperre aufheben, womit auch die ungültigen Anmeldeversuche mit „User1“ aufgehoben werden.

Sollten Sie Fragen zu dieser neuen Erweiterung haben, stehen wir Ihnen gerne über unsere Kontaktmöglichkeiten zur Verfügung.