Admin-Einstellungen für Passwortsicherheit

Am heutigen Welt Passwort Tag beenden wir unsere 5-tägige Reihe zur Passwortsicherheit mit Nextcloud mit einem Beitrag zu den Admin-Einstellungen.
Habt ein schönes Wochenende und: “Take control of all your data …”
Beste Grüße aus Berlin, dein Nimmerland Team

Bei einer selbst administrierten Nextcloud (in den Nimmerland-Tarifen “Space” und “Team”) ist der Administrator für die sicherheitsrelevanten Einstellungen verantwortlich. Er gibt vor, wie ein Nextcloud-Passwort beschaffen sein soll und macht auch für die Passwortmanager wichtige Vorgaben.

Bei einer Nimmerland Nextcloud heißt der Admin-Account “superadmin”.

Passwortregeln für alle Benutzer anlegen

1) Als Nextcloud Administrator findest du die Vorgabe der Passwort-Regeln in deinen Verwaltungseinstellungen.

2) Bei immer schneller werdenden Rechnern, hängt die Zeit, die eine Maschine zum knacken deines Passwortes braucht sehr von der Länge ab. 12 Zeichen gelten heute eher als Untergrenze.

Tipp: Wenn du einen Passwortmanager (Keepass, Passman, Passwords) benutzt, sind lange Passworte kein Problem, weil du sie Dir nicht merken musst.

3) Für die Komplexität und Sicherheit der Passworte, die deine Benutzer wählen können, machst du hier passende Vorgaben:

a) Nextcloud vergleicht die Passworte mit Mustern häufig verwendeter Passworte und lässt diese nicht zu.

b) Im Passwort müssen sowohl Groß- als auch Kleinbuchstaben vorkommen

c), d) mit diesen Optionen kannst du Zahlen und Sonderzeichen (§,%,& ..…>) erzwingen

e) Besonders cool ist die Option Passworte automatisch mit einer Datenbank von Accounts abzugleichen, die in der Vergangenheit gehackt worden sind. Nextcloud nutzt dazu die Datenbank von Have I Been Pwned. Auch das Hasso Plattner Institut bietet eine solche Datenbank, mit der du Passworte manuell abgleichen kannst. In deren Antwortmails erfährst du auch, bei welchem Leak deine Zugangs Daten möglicherweise bekannt geworden sind.

Achtung! Diese Einstellungen haben keinen Einfluss auf bereits bestehende Passworte. Wenn du möchtest, dass deine Nutzer nur noch sichere Passworte verwenden, fordere sie auf, ihr Passwort zu ändern.

Einstellungen für den Passwort-Manager “Passwords”

Als Administrator kannst du das Verhalten von Passwords filigran anpassen. Nicht alle Einstellungen sind sicherheitsrelevant.

1) Ein Manual mit allen Erläuterungen zu den Amin-Einstellungen ist hier verlinkt.

2) Das alte API unterstützt keine client- oder serverseitige Verschlüsselung. Es wird gegebenenfalls für ältere externe Apps und Anwendungen gebraucht. Wenn du es nicht brauchst, ist es besser die Option abgeschaltet zu lassen.

3) Auch Passwords kann Passworte gegen verschiedene, z.T. lokale, Listen prüfen. “Have I been pwned” ist auch hier die Empfehlung

4) Um auch aussprech- und damit besser merkbare Passworte generieren zu können, kann Passwords auf interne Wörterbücher oder einen Online-Dienst zugreifen (watchout4snakes.com). In der Voreinstellung reiht der Passwort-Generator zufällig erzeugte Zeichen aneinander.

5) Nichts vergessen: Du kannst dir Mails senden lassen, wenn z.B. die Gültigkeit eines Passwortes abgelaufen ist oder es bei “Have I been pwned” als gehackt auftaucht.

6) Ob du auch eine Mail bekommen willst, wenn ein Passwort geteilt wurde, entscheidest du hier.

7) Deine Passworte sind ein Schatz, den es gut zu bewahren gilt. Auf regelmäßige Backups solltest du nie verzichten.

Admin-Einstellungen für Passman

Die Admin-Einstellungen für Passman haben keinen eigenen Menüpunkt. Sie finden sich bei den “zusätzlichen Einstellungen”.

1) Du solltest Passworte nur über verschlüsselte Verbindungen übertragen. Hier kann die HTTPS-Überprüfung eingeschaltet werden. (Eine Nextcloud von Nimmerland lässt sich nur über verschlüsselte Verbindungen erreichen. Dafür bekommt jede Instanz ein eigenes LetsEncrypt Zertifikat, das alle drei Monate automatisch erneuert wird)

2) Die minimale Passwortstärke kannst du für alle Nutzer vorschreiben.

3) Du entscheidest, ob Nutzer Passworte teilen dürfen. Falls ja, kannst du das Teilen auf anderer Benutzer deiner Cloud beschränken oder eine Teilen via Link gestatten.

4) Die Zugangsdaten eines Passwort-Safes kannst du zu einem anderen Nutzer verschieben. Praktisch im Team, wo Passworte zentral vergeben und mit Nutzern geteilt werden: Falls der PW-Admin ausscheidet, kann der Zugang weitergegeben werden.

5) Nutzer können einen Antrag auf Löschung ihres Passwort-Safes in Nextcloud stellen. Das entspricht den Anforderungen der DSGVO. Hier kannst du entsprechende Anträge einsehen und ihnen entsprechen.

Sicherheit von in Browsern oder Mail-Programmen gespeicherten Passworten

Viele Menschen vertrauen ihre Passworte ihrem Browser an. In modernen Browsern werden sie auch sicher gespeichert. Wir allerdings dein Laptop/Mobile mitsamt der gespeicherten Passworte geklaut, kann der neue Besitzer Deine Webseiten und Bank-Accounts verwenden, auch wenn er die Passworte nicht kennt.

Wenn du deine Passworte einem Browser anvertraust, sichere den Zugang mit einem Master-Passwort ab.

Passworteinstellungen in Firefox

1) Du hast es in der Hand, ob Firefox bei der Eingabe von Passworten fragt, ob er die Anmeldedaten speichern soll.

2) Hier das Masterpasswort aktivieren. Einmal pro Session musst du das Masterpasswort eingeben um auf die im Browser gespeicherten Passworte zugreifen zu können.

3) Gespeicherte Zugangsdaten werden Dir angezeigt. Du kannst sie einzeln oder insgesamt löschen.

Besser noch: Nutze generell 2-Faktor Authentifizierung.

Passworte extern überprüfen

Sicher gibt es auch Passworte, die du nicht in Nextcloud nutzt oder gespeichert hast. Im Linkverzeichnis findest du Webseiten, auf denen du deine Passworte auf Sicherheit oder einen möglichen Hack überprüfen kannst.

Links

BSI für Bürger – Passwörter

Wie sicher ist mein Passwort 2018?

Identity Leak Checker – Hasso Plattner Institut

Have I Been Pwned? – Wikipedia

Have I Been Pwned

 


Füge einen Kommentar hinzu

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

fünfzehn − 10 =

Loading...