Wie erstellen Sie ein Passwort, um Ihr SAP-System sicher zu machen?

Ein altes Thema, so alt wie eine abgetragene Jacke nach zweihundert Sicherheitssitzungen. Ein Thema, das so bekannt ist wie das beliebteste Passwort im Internet (123456(?)). Ein Thema, das bereits so dünn ist wie... eine dünne Schicht Butter auf einer großen Scheibe Brot... Es kehrt jedoch wie ein Bumerang zurück, und zwar nicht, weil es populär und beliebt ist, sondern weil es für die Sicherheit wichtig und kritisch ist.

Wie erstellen wir am häufigsten Passwörter?

Stellen Sie sich ein Szenario vor, in dem die SAP-Kernel-Einstellungen für Kennwortparameter die Standardeinstellungen sind.

Der Benutzer gibt sein neues Passwort ein: a.
Die Nachricht lautet:  ‘Das Passwort ist nicht lang genug (Mindestlänge: 6 Zeichen).’

Der Benutzer gibt ein anderes Passwort ein: aaaaaa.
Eine weitere Nachricht ertönt: ‘Die ersten drei Zeichen des Passworts müssen sich voneinander unterscheiden.’

Der Benutzer sagte: ababab.

Endlich!

Sowohl der Benutzer ist zufrieden, weil das System ihm das Leben nicht mehr schwer macht, als auch das System ist „zufrieden”.
Nun stellt sich die Frage (und wenn sie sich nicht stellt, sollte sie sich stellen):

Ist diese Sicherheit für uns als Systemadministratoren ausreichend?

Die Länge ist wichtig

Was gibt es da zu sagen. Je länger das Passwort, desto besser. Diese Regel wird jedoch absichtlich gebrochen oder einfach ignoriert, da der Benutzer die Verwendung langer Passwörter herunterspielt. Es muss kurz, schnell und auf den Punkt gebracht sein.
Wie kann man die Benutzer dazu „motivieren”, längere Passwörter zu verwenden, sie aber andererseits nicht mit der Monotonie der Eingabe von 40 Zeichen „quälen”?
Ändern Sie den Standardwert des Parameters ‘anmeldung/min_passwort_lng’.
Welchen Wert soll ich wählen? Mindestens 12 Zeichen.
Der Parameter erlaubt einen Bereich von 3 bis 40 Zeichen. Im Extremfall von 0 bis 8 Zeichen in Kombination mit einem anderen Parameter.
Denken Sie jedoch daran: Je länger das Passwort ist, desto sicherer ist es.

Die Macht eines Slogans

Wie später im Text zu lesen war, besteht kein Zweifel daran, dass ein langes Passwort nicht alles ist.
Der Benutzer gibt ein neues Kennwort ein, wobei er diesmal mindestens 12 Zeichen einfügen„ muss: ababababab.
Wenn wir uns das neue Passwort ansehen, kommen wir zu dem Schluss, dass es sich bei unserem Benutzer glücklicherweise um eine fiktive Figur handelt und jede Ähnlichkeit mit realen Benutzern zufällig ist.

Was können wir als Verwalter dagegen tun?

Es stehen uns drei weitere Parameter zur Verfügung:

login/min_password_digits

login/min_passwort_buchstaben

login/min_passwort_specials

Der erste Parameter legt für uns die Mindestanzahl der Ziffern (Ziffern von 0 bis 9) fest, die der Benutzer bei der Eingabe eines neuen Passworts verwenden muss. Sie kann bis zu 40 betragen, aber in Kombination mit den beiden anderen Parametern beträgt die Höchstzahl 36 Ziffern.

Der zweite Parameter erzwingt eine Mindestanzahl von einzugebenden Buchstaben, wiederum bis zu 40 Zeichen (A bis Z; a bis z). Bleiben noch die Sonderzeichen. Denn was ist schon ein sicheres Passwort ohne Semikolon oder Klammer 😉 Aber um es auf den Punkt zu bringen, haben wir etwas, mit dem wir mit den verfügbaren Sonderzeichen, die nicht aus Buchstaben und Zahlen bestehen werden, angeben können:

!”@ $%&/()=?’`*+~#-_.,;:{[]}\|

Wir haben einen robusten Satz von Zeichen entwickelt, um das System zu sichern. Schließlich ist es das Passwort: il1k3indianaj0nes;) ist bereits wirklich etwas, das schwieriger zu brechen ist.

Qualität des Passworts

Wie wäre es, den Herd zu verstärken und die Qualität der Passwörter zu verbessern? Können Sie das tun? Sie können!

Die Hinzufügung von zwei Parametern, deren Namen auf den ersten Blick erkennen lassen, worum es sich bei der Sorte handelt, ist die Rettung:

login/min_password_lowercase

login/min_password_uppercase

Parameter eins ist verantwortlich für die Mindestanzahl von Kleinbuchstaben in einem Passwort.
Letzteres gilt für die Mindestanzahl von Großbuchstaben in einem Passwort.

Das ist Magie! Ein zufriedener Benutzer gibt das Passwort nach den neuen Regeln ein: A9#CgeGG8ea].

Administratoren glücklich. Nur... wie soll man sich das merken...?

Gibt es sonst noch etwas, was wir tun können?

Ja. Es lohnt sich, zusätzliche sicherheitsfördernde Parameter in Betracht zu ziehen, die die oben genannten ergänzen.

Sicherlich möchten die Verwalter, dass die Änderungen wenn nicht sofort, so doch etwas später in Kraft treten.

Parameter ‘login/password_compliance_to_current_policy’ ist im obigen Zusammenhang wichtig, da es die Änderung des Kennworts anhand der neuen Richtlinie unmittelbar nach der Anmeldung erzwingt.
Ein Parameter mit dem Wert 1 bedeutet, dass das Kennwort des Benutzers anhand der aktuellen Kennwortsicherheitsrichtlinie überprüft wird. Wenn mindestens einer der Parameter nicht erfüllt ist, wird eine Passwortänderung erzwungen.

Um sich Passwörter leichter merken zu können, verwenden viele Benutzer ihre eigenen Vorlagen. Wenn es an der Zeit ist, das Passwort zu ändern, ersetzen sie dann ein oder zwei Zeichen. Das bedeutet, dass der Kern oder ein großer „Brocken” des Passworts unverändert bleibt.

Um solche Aktionen zu erschweren und die Komplexität der Passwörter hoch zu halten, können wir den Parameter ‘anmeldung/min_passwort_diff’. Der Wert des Parameters (von 1 bis 40) gibt an, wie viele Zeichen im neuen Kennwort im Vergleich zum alten Kennwort geändert werden müssen.

Ein damit zusammenhängender Punkt ist, dass der Benutzer nicht zu oft die gleichen Passwörter verwenden sollte. Dies wird durch den Parameter ‘login/password_history_size’. Er speichert zwischen 1 und 100 der zuletzt vom Benutzer verwendeten Passwörter. Wenn wir diesen Parameter auf 5 setzen, bedeutet dies, dass fünf Zyklen vergehen müssen, bevor der Benutzer das Passwort Nummer 1 wieder verwenden kann.

Empfehlung

Durchführen. Lassen Sie die Tür nicht für jeden offen, der einfach nur in das System eindringen will. Denken Sie daran, dass vor der Implementierung einer Lösung Tests durchgeführt werden sollten, insbesondere wenn Ihr System mit Systemen mit niedrigeren Versionen verbunden ist.
Wer möchte schon mit einem blockierten Produktionssystem enden? Hand in Hand.

Und das WichtigsteBenutzer dürfen ihre Passwörter nicht auf Zettel schreiben und sie an den Bildschirm kleben, in der Computertasche mitnehmen oder auf dem Schreibtisch liegen lassen. Das ist schließlich so, als würde man die PIN der Zahlungskarte am Geldautomaten, den wir benutzen, durchkratzen/einritzen/abreiben. Ein solcher Benutzer sollte verwarnt werden.