SAP-Passwort-Sicherheit - IT-Audit.de
SAP-Passwort-Sicherheit - IT-Audit.de
SAP-Passwort-Sicherheit - IT-Audit.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Audit</strong>.<strong>de</strong>, August 2003 <strong>SAP</strong>-<strong>Passwort</strong>-<strong>Sicherheit</strong><br />
_____________________________________________________________________________________<br />
2.3 Auffor<strong>de</strong>rung zur <strong>Passwort</strong>-Än<strong>de</strong>rung<br />
Um einen erfolgreichen Angriff auf <strong>Passwort</strong>e zu erschweren, müssen die Benutzer die <strong>Passwort</strong>e in<br />
regelmäßigen Abstän<strong>de</strong>n än<strong>de</strong>rn, so dass die Zeitspanne, die zum Knacken eines <strong>Passwort</strong>es<br />
benötigt wird, möglichst größer ist als die Dauer <strong>de</strong>r Benutzung dieses <strong>Passwort</strong>es.<br />
Die Gültigkeitsdauer eines vom Benutzer vergebenen <strong>Passwort</strong>es kann mit Hilfe <strong>de</strong>s Profile-<br />
Parameters login/password_expiration_time festgelegt wer<strong>de</strong>n. Ist die entsprechen<strong>de</strong> Anzahl von<br />
Tagen seit <strong>de</strong>r letzten <strong>Passwort</strong>-Än<strong>de</strong>rung vergangen, wird <strong>de</strong>r Nutzer bei <strong>de</strong>r Anmeldung gezwungen,<br />
ein neues <strong>Passwort</strong> zu wählen.<br />
Es gibt keinerlei Vorwarnung und auch nicht die Möglichkeit, das eigentlich abgelaufene <strong>Passwort</strong><br />
ausnahmsweise noch ein weiteres Mal zu verwen<strong>de</strong>n, damit <strong>de</strong>r Benutzer sich in Ruhe ein neues<br />
<strong>Passwort</strong> aus<strong>de</strong>nken kann. Dadurch erhöht sich einerseits die Gefahr, dass die Benutzer Trivial-<br />
Passwörter wählen. An<strong>de</strong>rerseits steigt die Wahrscheinlichkeit, dass das neue <strong>Passwort</strong> vergessen<br />
wird.<br />
Hilfreich für <strong>de</strong>n Benutzer wäre es also bereits 2 Arbeitstage vor <strong>de</strong>r wirklich fälligen <strong>Passwort</strong>-<br />
Än<strong>de</strong>rung, einen entsprechen<strong>de</strong>n Hinweis zu bekommen. Da im <strong>SAP</strong>-Standard eine solche<br />
Möglichkeit nicht vorgesehen ist, bietet es sich an, diese Funktionalität im Login-Userexit<br />
bereitzustellen.<br />
Hier kann <strong>de</strong>r Inhalt <strong>de</strong>s Profile-Parameters login/password_expiration_time ermittelt und geprüft<br />
wer<strong>de</strong>n, ob die Gültigkeitsdauer eingeschränkt ist. Zusätzlich wird das Datum <strong>de</strong>r letzten <strong>Passwort</strong>-<br />
Än<strong>de</strong>rung aus Tabelle USR02 gelesen.<br />
Unter Berücksichtigung <strong>de</strong>s Fabrikkalen<strong>de</strong>rs wird mit Hilfe entsprechen<strong>de</strong>r <strong>SAP</strong>-Standard-<br />
Funktionsbausteine berechnet, wie viele Arbeitstage das <strong>Passwort</strong> noch gültig ist. Ist eine bestimmte<br />
(entwe<strong>de</strong>r im Userexit hart kodierte o<strong>de</strong>r per SET/GET-Parameter ID im Benutzerstamm <strong>de</strong>finierte)<br />
Anzahl Tage unterschritten, wird eine Meldung ausgegeben, die <strong>de</strong>n Benutzer auf die bevorstehen<strong>de</strong><br />
<strong>Passwort</strong>-Än<strong>de</strong>rung hinweist.<br />
Diese Erweiterung kann sowohl die Qualität <strong>de</strong>r gewählten Passwörter verbessern als auch <strong>de</strong>n<br />
Aufwand, <strong>de</strong>r durch vergessene Passwörter entsteht, reduzieren.<br />
2.4 Anmerkungen zur Qualität von Passwörtern<br />
Am sichersten sind möglichst lange Passwörter, die aus wirklich zufälligen Kombinationen von<br />
Zeichen bestehen, wobei Buchstaben, Ziffern und Interpunktionszeichen in zufälliger Abfolge<br />
vorkommen sollten. Außer<strong>de</strong>m sollte kein <strong>Passwort</strong> aus an<strong>de</strong>ren (ehemals verwen<strong>de</strong>te Passwörter,<br />
Passwörter für an<strong>de</strong>re Systeme) abgeleitet wer<strong>de</strong>n können.<br />
Allerdings kann sich kaum jemand eine große Menge solcher Passwörter merken.<br />
So kommt es dazu, das oft Passwörter verwen<strong>de</strong>t wer<strong>de</strong>n, die für einen Angreifer leicht zu erraten<br />
sind. Leicht heißt in diesem Zusammenhang: mit Kenntnis <strong>de</strong>r Hashwerte unter Zuhilfenahme eines<br />
Crack-Programms zu knacken.<br />
Die <strong>Sicherheit</strong> <strong>de</strong>r gewählten Passwörter hängt also entschei<strong>de</strong>nd davon ab, inwieweit die Nutzer<br />
informiert wur<strong>de</strong>n, wie sichere Passwörter zu wählen sind, und ob sie sich an entsprechen<strong>de</strong><br />
Empfehlungen halten.<br />
2.4.1 Schlechte Passwörter<br />
Beispiele für schlechte Passwörter:<br />
• Vornamen<br />
Frank Dittrich Seite 6 von 11