Kennwort

In diesem Thema werden Optionen zum Festlegen und Verwalten von Kennwörtern (EINSTELLUNGEN > Sicherheitsrichtlinien – Kennwort) beschrieben.

Die hier festgelegten Kennwortanforderungen werden auf der Webschnittstelle angezeigt, über die ein Benutzer aufgefordert wird, sein Kennwort einzugeben. Wenn z. B. der Benutzer aufgefordert wird, beim Senden eines Pakets ein Kennwort einzugeben, werden die Kennwortanforderungen aufgeführt:

Length and Complexity (Länge und Komplexität)

Dieser Abschnitt steuert die Mindestanforderungen an die Komplexität und Länge von Kennwörtern für das MOVEit Transfer-System.

Minimum Length (Mindestlänge): Nur Kennwörter dieser Länge oder länger sind zulässig. (Kennwörter dürfen nie leer sein.) Der Systemmindestwert ist 4, der Standardwert ist 6.
Minimale Komplexität: Bestimmt, welches Komplexitätsregelpaket auf Kennwörter angewendet wird. Die Standardkomplexität ist „Minimal“.

Die Datei passdict.txt enthält das vollständige Kennwortwörterbuch. Sie befindet sich im Ordner d:\moveitdmz oder einem ähnlichen Ordner. (Sie befindet sich nicht unter „Program Files“ (Programme)) Diese Datei ist NICHT verschlüsselt und kann mit jedem Texteditor bearbeitet werden.

Aging and History (Alterung und Verlauf)

MOVEit Transfer bietet integrierte Steuerelemente, mit denen regelmäßige Kennwortänderungen mit einer bestimmten Häufigkeit erforderlich gemacht werden können und die unsichere Praxis der Wiederverwendung von Kennwörtern verhindert werden kann. Der Ablauf von Kennwörtern und ein „Kennwortverlauf“ (das Untersagen der Verwendung von kürzlich verwendeten Kennwörtern, d. h. der letzten n verwendeten Kennwörter) sind Grundlagen aktueller Cybersicherheits-Standards.

Mit folgenden Einstellungen können Sie Richtlinien (Regelsätze) dazu festlegen:

Wie lange ein Kennwort verwendet werden kann.
Wie viele vorher verwendete Kennwörter derzeit nicht verwendet werden können...
und vieles mehr.

Regeln für den Kennwortablauf und den Verlauf erstellen und anwenden

Zum Einsatz dieser Funktion müssen Sie zuerst Regelsätze (Richtlinien) erstellen, bevor Sie sie anhand von Benutzerrollen anwenden können.

Erstellen Sie zuerst Regelsätze, sog. Richtlinien.
Anschließend können Sie diese Regelsätze auf bestimmte Benutzerrollen in der Organisation anwenden.

Diese Einstellungen zum Kennwortablauf und ‑verlauf wirken sich nicht auf externe Kennwortquellen und Zugriffssteuerungsmaßnahmen aus (z. B. wenn SSO verwendet wird).

Kennwortablaufrichtlinien für alle Benutzerrollen in der Organisation definieren

	Einstellung/Vorgang	Notizen
	Richtlinie hinzufügen. Definieren Sie zuerst einen Regelsatz für den Kennwortablauf, der auf eine bestimmte Benutzerrolle angewendet werden kann.	Sie müssen eine Richtlinie erstellen, bevor Sie Richtlinienregeln anwenden können, die das Standardverhalten (d. h. ohne Richtlinie) ändern.
	Kennwortablaufrichtlinie (wählen Sie eine Richtlinie aus der Dropdown-Liste aus). 1. Wählen Sie eine vordefinierte Richtlinie für die einzelnen Benutzerrollen in der Organisation aus. 2. Klicken Sie auf Ändern, um die ausgewählte Richtlinie anzuwenden.	Oft sind Benutzer mit größerem Zugriffsumfang (z. B. Administratoren) Kandidaten für kürzere Ablaufzeiträume. (Durch den umfassenderen Zugriff sind die Risiken größer, und kürzere Ablaufzeiträume verringern dieses Risiko.)
	Richtlinienname (Tabellenansicht). Kennwortablaufrichtlinien, die mit Richtlinie hinzufügen erstellt wurden, durchsuchen, ändern und löschen.	Diese Tabelle ist leer, bis Sie eine Richtlinie erstellen.

Kennwortablaufrichtlinie bearbeiten

Kennwortablaufregeln mit „Kennwortablaufrichtlinien hinzufügen/bearbeiten“ definieren.

Password History (Kennwortverlauf). Ermöglicht es Administratoren, zu verhindern, dass Benutzer Kennwörter wiederverwenden können. Der Standardwert ist 0, der maximal zulässige Wert ist 99. Kennwortverläufe werden erstellt, wenn Benutzer ihre Kennwörter ändern. Mit anderen Worten: Kennwortverläufe sind nicht auf magische Weise plötzlich vorhanden, wenn ein Administrator seine Verlaufseinstellung von 0 in 5 ändert.

Password Aging (Kennwortalterung). Zum Aktivieren und Deaktivieren der Kennwortalterung. Falls aktiviert, LAUFEN Kennwörter nach der konfigurierten Anzahl von Tagen AB. Wenn ein Kennwort abgelaufen ist, wird der Benutzer ausgesperrt, bis ein Administrator dessen Konto wieder aktivieren kann. Eine Benachrichtigung über den Kennwortablauf wird auch an interessierte Administratoren und Gruppenadministratoren gesendet. Der Standardwert ist OFF.

Lock out user if password older than (Benutzer sperren, wenn Kennwort älter als): Kennwörter, die älter sind als diese Anzahl von Tagen, LAUFEN AB und bewirken, dass die dazugehörigen Benutzer ausgesperrt werden, bis ein Administrator deren Konto wieder aktivieren kann. Der Standardwert beträgt 120 Tage, der zulässige Mindestwert ist 1, der maximal zulässige Wert ist 9999.

Warn and force password change in advance (Warnen und Kennwortänderung im Voraus erzwingen). Wenn aktiviert, sendet MOVEit Transfer PER E-MAIL Benachrichtigungen über den Kennwortablauf an den Benutzer, bevor dessen Kennwort abläuft. Eine E-Mail-Benachrichtigung wird auch an interessierte Administratoren und Gruppenadministratoren gesendet und gibt an, dass der Benutzer über den bevorstehenden Ablauf seines Kennworts informiert wurde. Wenn das Kennwort eines Benutzers die konfigurierte Anzahl von Tagen noch nicht überschritten hat, wird der Benutzer außerdem automatisch gezwungen, sein Kennwort bei der nächsten Anmeldung zu ändern.

How many days in advance (Wie viele Tage im Voraus). Bestimmt, wie viele Tage vor Kennwortablauf eine Warnung gesendet werden soll. Bestimmt außerdem, wie viele Tage vor Kennwortablauf MOVEit Transfer beginnen soll, zu erzwingen, dass der Benutzer sein Kennwort bei der nächsten Anmeldung ändert. Der Standardwert beträgt 10 Tage, der zulässige Mindestwert ist 0, außerdem muss der Wert kleiner oder gleich dem Wert für die Einstellung Lock out if older than (Aussperren, wenn älter als) sein.

Wenn Änderungen an den Optionen für die Kennwortalterung vorgenommen werden, prüft das System, ob aufgrund der neuen Einstellung die Kennwörter von aktuellen Benutzern möglicherweise als abgelaufen gekennzeichnet werden. Wenn dies der Fall ist, wird eine zweite Seite angezeigt, auf der der Administrator gefragt wird, ob er die Kennwort-Änderungsstempel dieser Benutzer auf die aktuelle Zeit zurücksetzen möchte. Dabei werden die Kennwörter der Benutzer nicht geändert. Stattdessen wird lediglich der interne Zeitstempel, der dem Kennwort jedes Benutzers zugeordnet ist, geändert und auf diese Weise verhindert, dass die Kennwörter als alt betrachtet werden. Wenn diese Aufforderung abgelehnt wird, werden die Kennwörter von betroffenen Benutzern bei der nächsten nächtlich geplanten Task-Ausführung als abgelaufen gekennzeichnet.

Berechtigungen (Benutzerkennwort)

Organisationsadministratoren können festlegen, wie Kennwörter zugestellt werden und ob Benutzer sie ohne Eingriff des Administrators zurücksetzen können.

Berechtigungen: Kennwortzustellung bearbeiten/aktivieren

In diesem Abschnitt wird festgelegt, welche Zustellungsverfahren verfügbar sind bzw. bevorzugt werden, wenn Administratoren andere Benutzer erstellen.

No direct email (Nicht direkt per E-Mail). Verwendet einen anderen Kanal (anwendungsextern).
Email password (Kennwort per E-Mail). Das Kennwort wird in der Benachrichtigung über das neue Konto versendet. Administratoren wird eine Option bereitgestellt, mit der sie neue Kennwörter per E-Mail an Benutzer senden können, wenn ein neuer Benutzer hinzugefügt oder das Kennwort eines vorhandenen Benutzers geändert wird.
Email reset link (Link zum Zurücksetzen per E-Mail). Der Link wird an die derzeit in MOVEit Transfer konfigurierte E-Mail-Adresse des Benutzers gesendet.

Wichtig: Per E-Mail versendete Kennwörter werden als Klartext versendet, wenn SMTPS (verschlüsseltes SMTP) nicht konfiguriert ist. Weitere Informationen zur Einrichtung von SMTPS finden Sie im Abschnitt „SMTP“ der Systemkonfiguration.

Berechtigungen: Vom Benutzer initiiertes Zurücksetzen bearbeiten/aktivieren

Allow Users to Change Own Password (while signed-on) (Zulassen, dass Benutzer ihre eigenen Kennwörter ändern, wenn angemeldet).

Wenn diese Option aktiviert ist, können Benutzer ihre eigenen Kennwörter ändern. Andernfalls können Benutzer ihre eigenen Kennwörter nicht ändern.

Standard = Aktiviert.

Allow End-Users to Reset Password (Zulassen, dass Endbenutzer das Kennwort zurücksetzen)

Wenn diese Option aktiviert ist, können Benutzer über den MOVEit Transfer-Anmeldebildschirm eine Kennwortänderung anfordern. Dadurch können Benutzer ihre eigenen Kennwörter zurücksetzen, ohne den technischen Support der Site kontaktieren zu müssen.

Wenn die Option aktiviert ist, können einzelne Benutzer trotzdem an Kennwortänderungsanforderungen gehindert werden, indem die Einstellung Prohibit user from requesting automatic password changes (Keine automatischen Kennwortänderungen durch den Benutzer zulassen) im Profil des Benutzers aktiviert wird. Weitere Einzelheiten finden Sie im Abschnitt „Kennwort“ der Benutzerprofil-Dokumentation.

Nachdem der Benutzer auf den Link Request password change (Kennwortänderung anfordern) geklickt hat, wird er aufgefordert, seinen Benutzernamen einzugeben. Es wird eine E-Mail an die registrierte E-Mail-Adresse dieses Benutzerkontos gesendet (falls vorhanden), entweder mit einem Link, um die Kennwortänderungsanforderung fortzusetzen, oder mit einer Nachricht, dass die Anforderung abgelehnt wurde. (Der Benutzer kann in einem begrenzten Zeitraum auf den Link klicken. Darüber wird ein Dialogfenster geöffnet, in dem er sein Kennwort ändern kann.) Kennwortänderungsanforderungen bieten zusätzliche Optionen zur Prüfung der Identität:

Require users to respond to reCAPTCHA (Benutzer müssen reCAPTCHA beantworten). Die Benutzervalidierung (Beantwortung) von CAPTCHA-Fragen, die anhand eines Crowd-Mitarbeitsmodells bewertet werden, ist erforderlich.
Require users to answer security questions (Benutzer müssen Sicherheitsfragen beantworten). Endbenutzer können ihr Kennwort anhand von Sicherheitsfragen (Frage-Antwort-Paare) zurücksetzen, die sie vorher ausgewählt und eingerichtet haben (z. B. bei der normalen Anmeldung).

When Failed Sign-on Attempts or Answers to Challenge Questions are Observed... (Bei erkannten fehlgeschlagenen Anmeldeversuchen oder fehlerhaften Antworten auf Sicherheitsfragen...)

Der Benutzer wird anhand von Richtlinien zu fehlgeschlagenen Anmeldeversuchen zurückgesetzt, selbst wenn Sicherheitsfragen aktiviert sind. Beispiel:

Der Benutzername wird gesperrt, wenn die Sicherheitsfragen n Mal falsch beantwortet werden.
IP-Adressen werden blockiert, wenn gefälschte (unbekannte) Benutzernamen wiederholt (n Mal) verwendet werden.

Hinweis: Wie lange ein Link für die Kennwortänderungsanforderung aktiv ist, wird durch die Einstellung Password request codes should expire after (Ablauf von Codes zur Kennwortanforderung nach) bestimmt. Bei jeder Kennwortänderungsanforderung wird ein eindeutiger ID-Code ausgegeben, der sie gegenüber dem Server identifiziert. Dieser ID-Code wird in dem Link bereitgestellt, der an die E-Mail-Adresse des Benutzers gesendet wird. Wenn dieser ID-Code nicht innerhalb der durch die Einstellung festgelegten Zeitspanne verwendet wird, läuft er ab und kann nicht mehr genutzt werden, um das Kennwort des Benutzers zurückzusetzen.