Passwort-Regeln Musterklauseln
Passwort-Regeln. Die von 360dialog vergebenen Passwörter entsprechen den folgenden Richtlinien: • eine Mindestlänge von 8 Zeichen, leere Passwörter sind nicht zulässig, • ein Zeichenmix aus mindestens drei Kategorien: Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen (!@#$%^&*) • kein leicht zu erratender Begriff und kein triviales Passwort (aus einer Liste der 10.000 häufigsten Passwörter), • keine Verwendung von historischen Passwörtern (die Historie kennt 10 Passwörter), • kein Teil des Benutzernamens Teil des Passworts ist. Benutzerpasswörter, die für Benutzer des Kunden bestimmt sind, werden entweder direkt vom Kunden vergeben oder von autorisierten Mitarbeitern von 360dialog gemäß den jeweiligen Passwortrichtlinien eingerichtet. Einmal erstellte Passwörter müssen regelmäßig geändert werden (mindestens alle 6 Monate). Das erste Passwort muss dem Nutzer auf sichere Weise übermittelt werden und/oder der Nutzer muss aufgefordert werden, es zumindest unmittelbar nach der ersten Anmeldung zu ändern. Wenn Benutzername und Passwort zur Authentifizierung erforderlich sind, wird das entsprechende Passwort niemals im Klartext auf dem Bildschirm angezeigt. Dies gilt für alle Zugriffsmöglichkeiten - ob über Webinterface, SSH-Zugang oder Datenbankzugriff, und ob durch Mitarbeiter von 360dialog oder autorisierte Nutzer des Kunden.
Passwort-Regeln. Die von 360dialog vergebenen Passwörter entsprechen den folgenden Richtlinien: - eine Mindestlänge von 8 Zeichen, leere Passwörter sind nicht zulässig, - ein Zeichenmix aus mindestens drei Kategorien: Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen (!@#$%^&*) - kein leicht zu erratender Begriff und kein triviales Passwort (aus einer Liste der 10.000 häufigsten Passwörter), - keine Verwendung von historischen Passwörtern (die Historie kennt 10 Passwörter), - kein Teil des Benutzernamens ist Teil des Passworts Benutzerpasswörter, die für Benutzer des Kunden bestimmt sind, werden entweder direkt vom Kunden vergeben oder von autorisierten Mitarbeitern von 360dialog gemäß den jeweiligen Passwortrichtlinien eingerichtet. Einmal erstellte Passwörter müssen regelmäßig geändert werden (mindestens alle 6 Monate). Das erste Passwort muss dem Nutzer auf sichere Weise übermittelt werden und/oder der Nutzer muss aufgefordert werden, es zumindest unmittelbar nach der ersten Anmeldung zu ändern. Wenn zur Authentifizierung Benutzername und Passwort erforderlich sind, wird das entsprechende Passwort niemals im Klartext auf dem Bildschirm angezeigt. Dies gilt für alle Zugriffsmöglichkeiten - ob über Webinterface, SSH-Zugang oder Datenbankzugriff und ob durch Mitarbeiter von 360dialog oder autorisierte Nutzer des Kunden. Anwendungspasswörter werden bei 360dialog über Passbolt Pro verwaltet, das auf einem eigenen Rechner mit eigener Datenbank im Rechenzentrum gehostet wird. Die Anmeldedaten für die Infrastruktur werden über Hashicorp Vault verwaltet. Alle Registrierungen, die über ein Netzwerk erfolgen, sind immer verschlüsselt. Bei webbasierten Benutzeroberflächen werden diese TLS / HTTPS verschlüsselt und über und als JSON Web Token (JWT) kodiert. Für den direkten Zugriff auf Server wird dieser optional über SSH oder VPN (IPSec, openVPN o.ä.) verschlüsselt. Zugriffsversuche (sowohl erfolgreiche als auch abgewiesene) auf die Server auf SSH-Ebene werden in den Serverprotokollen gespeichert und 3 Monate lang aufbewahrt. Zugriffsversuche auf die Webinterfaces werden aufgezeichnet und in Auth0 (▇▇▇▇▇://▇▇▇▇▇.▇▇▇/) protokolliert Auth0 Bei Brute-Force-Angriffen oder Passwortmissbrauch wird Auth0 aktiv und blockiert den Zugriff.