Security-Iteration

Um die Sicherheit von pirobase CMS zu steigern wird eine Iteration für Security-Themen implementiert. Im Fokus stehen hierbei die Erschwerung von Brute-Force-Angriffen sowie die Möglichkeit, dass Nutzer ihre Passworte selbst wählen können.

Als Brute-Force-Angriff wird ein automatisierter externer Angriff auf ein System bezeichnet, mit dem versucht wird, Zugangskennwörter von Accounts dieses Systems über eine erschöpfende Suche herauszufinden. In der Regel werden dabei über ein Programm in schneller Abfolge System-Logins mit wechselnden Zugangskennwörtern (und ggf. auch wechselnden Nutzer-Kennungen) versucht, bis eine gültige Kombination gefunden wurde. Da keine Unterscheidung zwischen diesem Automatismus und dem Nutzerverhalten (Fehleingabe und darauf folgende Wiederholung der Eingabe) möglich ist, kann man einen Brute-Force-Angriff zwar erschweren, aber nicht grundsätzlich verhindern.

Um diese Angriffe zu erschweren soll zum einen die Zählung von fehlgeschlagenen Logins durchgeführt werden um dann im Anschluss ggf. Accounts temporär zu sperren. Desweiteren soll der Dialog zum Anlegen bzw. Bearbeiten von Nutzern erweitert werden, um eine solche Sperre aufheben zu können.

Eine weitere Verbesserung der Sicherheit soll dadurch erreicht werden, dass Nutzer ihr Passwort selbst festlegen können. Beim Anlegen eines Nutzers legt der Administrator also nicht wie bisher ein Passwort fest, was dem Nutzer erst mitgeteilt werden muss. Die Nutzer sollen initial bzw. bei Löschung ihres bisherigen Passworts per E-Mail aufgefordert werden, ihr Passwort zu vergeben und erhalten hierzu einen Link zum modifizierten Login-Formular für den Webadmin. Das vom Nutzer dort angegebene neue Passwort soll über eine serverseitige Validierung zusätzlich hinsichtlich seiner Qualität überprüft und ggf. zurück gewiesen werden.