Passwort-Verwaltung

Passwortsicherheit und Passwortlebenszyklus

Der Admin und der Administrator können die Anforderungen an die Passwortsicherheit in den tomedo®-Einstellungen unter Praxis → Login & Sicherheit definieren.

Im ersten Feld 1 kann die Mindeststärke von Nutzerpasswörtern festgelegt werden:

• keine
• unsicher: Passwörter haben einen Informationsgehalt von 20-40 Bits
• durchschnittlich: Passwörter haben einen Informationsgehalt von 40-60 Bits
• sicher: Passwörter haben einen Informationsgehalt von 60-80 Bits
• sehr sicher: Passwörter haben einen Informationsgehalt von mindestens 80 Bits

Es handelt sich um allgemeine Passwort-Stärken. Innerhalb einer Praxis sollte es vollkommen ausreichen, wenn die Passwörter die Stärke „durchschnittlich“ erfüllen. Ein Informationsgehalt von 20 Bits entspricht etwa 3 zufälligen Zeichen.

Bleibt die Checkbox darunter 2 deaktiviert, bleiben alle Nutzer, die bereits ein Passwort haben, von den Anforderungsänderungen vorerst unberührt und können sich weiter mit ihrem gewohnten Passwort einloggen, auch wenn das gespeicherte Passwort nicht der neu festgelegten Anforderung genügt. Nutzer, die bis dahin noch kein Passwort hatten, sind nun beim nächsten Login in tomedo® gezwungen ein Passwort gemäß der definierten Mindestsicherheit zu setzten. Ändert ein Nutzer sein Passwort, müssen diese ebenfalls der Passwortmindestsicherheit entsprechen. Wurde beispielsweise die Sicherheitsanforderung auf „durchschnittlich“ gesetzt, muss das neue Passwort mindestens durchschnittlich sicher sein. Das neue Passwort könnte aber natürlich auch „sicher“ oder „sehr sicher“ sein. Passwörter mit der Sicherheitsstufe „unsicher“ oder gar nicht gesetzt werden nicht akzeptiert und folglich nicht gespeichert.

Im Bereich „Passwortlebenszyklus“ ist über die erste Checkbox 3 die Gültigkeitsdauer in Tagen seit der letzten Änderung von Passwörtern festzulegen. Ist die Gültigkeitsdauer überschritten, muss der Nutzer beim nächsten Login ein neues Passwort setzen.

Weiter kann über die nächste Checkbox 4 geregelt werden, ob Passwörter mehrmals verwendet werden können. Mit Aktivieren der Checkbox wird die Passworthistorie für die Nutzer gespeichert. Bereits gespeicherte Passwörter erfüllen stets keine Sicherheitsanforderung. Dementsprechend kann ein Passwort nicht mehrmals verwendet werden.

Hinweis: In der Passworthistorie werden auch die Passwörter gespeichert, die vom Admin für einen bestimmten Nutzer gesetzt wurden.

Mit dem Button „Passworthistorie für alle Nutzer zurücksetzen“ 5 kann die gesamte Passworthistorie für alle Nutzer gelöscht werden. Anschließend können die Nutzer bereits verwendete Passwörter erneut speichern.

Speichern von Passwörtern

Jeder Nutzer kann in den tomedo® Einstellungen unter Nutzer → Anmeldung ein neues Passwort speichern.

Dazu muss das aktuelle Passwort 1 korrekt eingegeben werden und das neue Passwort 2 muss den vom Admin gesetzten Sicherheitsanforderungen entsprechen. In dem Balken 3 wird die Sicherheit des aktuell eingegebenen Passwortes angezeigt sowie die Mindestsicherheit (ein Strich im Balken), die erreicht werden muss. Bei der Anzeige der Bewertung bezüglich Passwortsicherheit im Balken werden bereits vergebene Passwörter, welche je nach Einstellungen nicht mehrmals verwendet werden dürfen, nicht berücksichtigt. Das Feedback darüber erhält der Nutzer erst nach dem Speichern.

Über den Button „speichern“ 4 kann das neue Passwort gespeichert werden. Wenn die Mindestsicherheit nicht erreicht wurde, die neuen Passworteingaben nicht übereinstimmen oder das aktuelle Passwort falsch ist, wird das neue Passwort nicht gespeichert und das alte Passwort bleibt aktiv. In einem Hinweisfenster erhält der Nutzer Feedback, ob das Passwort gespeichert wurde bzw. warum nicht.

Hinweis: Über den Button „Aktualisieren“ können neue Passwörter nicht gespeichert werden.

Admins können via Nutzerverwaltung (Admin → Nutzerverwaltung) die Passwörter für alle Nutzer festlegen. Das zu setzende Passwort unterliegt ebenfalls den gesetzten Sicherheits- sowie Passwortlebenszyklus-Anforderungen. Wird ein Passwort eingegeben, wird dieses ausgepunktet 5. Im Balken 6 wird analog zum Fenster „Logineinstellungen“ die Sicherheit, des aktuell eingegebenen Passwortes angezeigt. Die Mindestsicherheit, die erreicht werden muss, wird durch einen Strich verdeutlicht. Zudem wird die aktuelle Sicherheitsstufe des eingegebenen Passworts (z.B. „unsicher“) angegeben.

Bei der Bewertung der Passwortsicherheit werden die bereits gesetzten Passwörter nicht berücksichtigt. Diese Validierung erfolgt erst beim Verlassen des Passwort-Eingabefeldes. Falls das Passwort in der Vergangenheit bereits einmal verwendet wurde, erscheint ein entsprechender Hinweis. Über die drei Punkte 7 können die Einstellungen „Login & Sicherheit“ geöffnet und angepasst werden. Die neu gesetzten Anforderungen sind sofort aktiv.

Ist bereits ein Passwort gesetzt, wird das Passwortfeld mit 5 Punkten angezeigt. Analog dazu ist das Passwortfeld leer, wenn kein Passwort gesetzt ist.

Hinweis: Mit Klick in das Passwortfeld wird das ausgepunktete Passwort nicht zurückgesetzt.

Achtung: Die Punkte entsprechen 5 Sternen und sollten deswegen nicht für das neue Passwort verwendet werden!

Die automatische Bildschirmsperre

Die automatische Bildschirmsperre (zu finden in den tomedo® Einstellungen unter Nutzer → Anmeldung)  gewährleistet die Sicherheit vor dem physischem Zugriff Dritter und unterstützt den Betriebsablauf durch Vermeiden von Versehen in der Nutzung falscher Accounts.

Um die automatische Bildschirmsperre zu nutzen, muss die Checkbox aktiviert und eine Zeit in Sekunden festgesetzt werden.

Die Bildschirmsperre kann sowohl vom Administrator für alle Nutzer als auch individuell gesetzt werden. Die vom Admin gesetzte Zeit gilt dabei als obere Schranke, das heißt, einzelne Nutzer können lediglich kürzere Zeiten einstellen.