Festlegen der Richtlinie für die Passwortsicherheit¶
Inhalt
Schwache Passwörter können einfach durch einen Brute-Force-Angriff kompromittiert werden. Dadurch können Angreifer bis zu einem gewissen Grad auf den Server zugreifen, um gehostete Websites zu verunstalten, Spam zu versenden, Informationen zu stehlen und vieles mehr.
Sie können eine serverweite Richtlinie zur Passwortsicherheit konfigurieren, mit der Sie ein Mindestmaß an Sicherheit für alle neu erstellten Passwörter auf dem Server vorschreiben. Starke Passwörter machen Brute-Force-Angriffe unbrauchbar oder sogar unmöglich.
Mit der Passwortsicherheit wird die Widerstandsfähigkeit eines Passworts gegen Erraten oder Brute-Force-Angriffe gemessen. Sie hängt von einer Reihe von Faktoren ab:
- Passwortlänge
- Vorhandensein von Klein- und Großschreibung
- Anzahl der verschiedenen Zeichen, die im Passwort enthalten sind (Zahlen, Sonderzeichen etc.)
- Vorhandensein von einem oder mehreren Wörtern, die im Wörterbuch zu finden sind
Wenn Benutzer schwache Passwörter verwenden (z. B. weil sie leichter zu merken sind), wird der Server damit womöglich unbeabsichtigt angreifbar gemacht. Ein Beispiel:
- Wenn das Passwort für ein Postfach kompromittiert wird, kann der Angreifer das Postfach zum Versenden von Spam verwenden. Das kann dazu führen, dass die IP-Adresse Ihres Servers in DNS-Blackhole-Listen aufgenommen wird.
- Falls das Passwort eines Systembenutzers kompromittiert wird, kann der Angreifer schädlichen Code in die Websites des Kunden einfügen.
All dies kann finanzielle und rufschädigende Folgen haben sowie zu Datenverlust führen.
Um Benutzer daran zu hindern, schwache Passwörter zu verwenden, können Sie eine serverweite Richtlinie zur Passwortsicherheit einrichten. Die Richtlinie gilt für viele (aber nicht alle) Passwörter, die ein Benutzer in Plesk festlegen kann. Wenn ein Plesk Benutzer dann ein Passwort einrichtet oder ändert, müssen die Anforderungen der aktuell gültigen Richtlinie zur Passwortsicherheit erfüllt werden.
Sie können zwischen fünf Stufen der Passwortsicherheit wählen, die von „sehr schwach“ bis „sehr stark“ reichen. Je strenger die Richtlinie ist, desto geringer ist die Wahrscheinlichkeit, dass das Passwort eines Benutzers für einen Brute-Force-Angriff anfällig ist.
Die Art und Weise, wie Plesk sichere Passwörter generiert und die Stärke eines Passworts bewertet, entspricht weitgehend der Methode von gängigen Drittanbieter-Passwortgeneratoren. Sie können also sicher sein, dass ein starkes Passwort, das z. B. von 1Password generiert wurde, von Plesk auch als solches behandelt wird. Weitere Informationen dazu, wie Plesk die Passwortsicherheit bewertet
Standardmäßig ist die Richtlinie für die Passwortsicherheit auf „Stark“ festgelegt. Sie können eine schwächere Richtlinie anwenden, wenn Sie zum Beispiel einen Passwortgenerator eines Drittanbieters verwenden, dessen Passwörter von Plesk nicht als stark genug eingestuft werden.
Bemerkung
Wenn Sie das Mindestmaß der Passwortsicherheit ändern, hat dies keine Auswirkungen auf bereits festgelegte Passwörter. Die Änderung wirkt sich nur auf Passwörter aus, die nach der Änderung der Mindestanforderungen festgelegt werden.
Die Richtlinie für die Passwortsicherheit gilt für die folgenden Passwörter:
- Passwörter, die für die Anmeldung bei Plesk verwendet werden.
- Passwörter von Abonnement-Systembenutzern.
- Passwörter von Datenbankbenutzern.
- Passwörter für Postfächer.
Die Richtlinie für die Passwortsicherheit gilt nicht für die folgenden Passwörter:
- Passwörter für Anwendungen, die in Plesk gehostet werden (z. B. WordPress, Joomla!)
- Passwörter für von Plesk verwaltete Dienste (Git, Docker)
- Passwörter zur Verschlüsselung von Backups
- Passwörter für Remote-Backup-Speicher
So ändern Sie die Richtlinie für die Passwortsicherheit:
- Gehen Sie zu Tools & Einstellungen > Sicherheitsrichtlinien (Unter „Sicherheit“), und scrollen Sie hinunter bis zum Abschnitt „Passwortsicherheit“.
- Wählen Sie unter „Mindestsicherheitsniveau für Passwörter“ das Optionsfeld aus, das der gewünschten Richtlinie für die Passwortsicherheit entspricht.
- Klicken Sie auf OK.
Die neue Passwortrichtlinie ist nun in Kraft und wird immer angewendet, wenn ein Passwort, für das die Richtlinie gilt, festgelegt oder geändert wird.