Sicherheit
Die hier hinterlegten Sicherheitseinstellungen definieren einen Mindest-Standard für die Länge und Komplexität von Passwörtern der Frontend-Nutzer und Backend-Admins. Die Einstellungen gelten für alle Teilnehmenden im Frontend, also reguläre Teilnehmende, als auch Referierende, Moderierende und Frontendadmins. Diese Einstellungen sollten im Idealfall den Richtlinien entsprechen, die dein Betrieb auch für interne Passwörter vorgibt. Sprich dazu am besten mit deinem internen Datenschutzbeauftragten.
Nutzt du unter “Haupteinstellungen” > “Webseite” nur die Funktion “Login mit Fastlane-Link" ohne die Funktion “Login mit E-Mail & Passwort”, gelten Passworteinstellungen nur für die Backend-Admins und sind für Teilnehmende im Frontend nicht berücksichtigt. Mehr dazu erfährst du im entsprechenden Wiki-Eintrag.
Mindestlänge für Passwörter
Gib hier die Mindestlänge für ein Passwort an. Wir empfehlen, kein Passwort unter 12 Zeichen zuzulassen.
Passwörter müssen Kleinbuchstaben enthalten
Mindestens ein Kleinbuchstabe muss im Passwort enthalten sein.
Es muss kein Kleinbuchstabe enthalten sein.
Passwörter müssen Großbuchstaben enthalten
Mindestens ein Großbuchstabe muss im Passwort enthalten sein.
Es muss kein Kleinbuchstabe enthalten sein.
Passwörter müssen Zahlen enthalten
Mindestens eine Zahl muss im Passwort enthalten sein.
Es muss keine Zahl im Passwort enthalten sein.
Passwörter müssen Sonderzeichen enthalten
Mindestens ein Sonderzeichen muss im Passwort enthalten sein.
Es muss kein Sonderzeichen im Passwort enthalten sein.
Mögliche Sonderzeichen
Hier kannst du die möglichen Pflicht-Sonderzeichen selbst als Freitexteingabe definieren. Wir empfehlen, dieses Feld immer auf den von uns gesetzten Voreinstellungen zu belassen, sollten durch deine internen Passwortrichtlinien keine anderen Vorgaben definiert worden sein.
Ablauf der Gültigkeit von Passwörtern in Tagen
Falls es deine internen Passwortrichtlinien so vorgeben sollten, kannst du auch bei uns für deine Nutzer eine Gültigkeit festlegen. Ist das Passwort abgelaufen, wird der Nutzer bei seinem nächsten Login automatisch dazu aufgefordert, ein neues Passwort zu vergeben. Gib hierzu einfach die Anzahl der maximalen Gültigkeit als Zahl ein. Wenn du die Zahl Null eingibst, ist das Passwort unbeschränkt lange gültig und läuft nicht ab.
Anzahl maximaler Anmelde-Versuche vor Sperrung
Wie auch im Webstandard, kann man in unserem System einen Nutzeraccount nach mehreren fehlgeschlagenen Login-Versuchen sperren lassen. Hier gibst du die Zahl vor, wie oft jemand sein Passwort falsch eingeben kann, bevor der Account für einen bestimmten Zeitraum, den du einen Schritt weiter unten definieren kannst, gesperrt wird.
Wartezeit in Minuten bevor erneuter Login nach Sperrung möglich ist
Gib hier die Anzahl in Minuten an, nach denen der Nutzeraccount automatisch wieder freigeschaltet wird, nachdem er vorher gesperrt wurde.
Deeplinks zu deaktivierten Menüpunkten erlauben
Ein DeepLink ist eine Verlinkung zu z.B. einem Menüpunkt, den man über eben diesen DeepLink erreichen kann, obwohl dieser noch nicht sichtbar geschaltet wurde. Mit diesem Trick kannst du z.B. einen administrierten Menüpunkt ansehen, ohne ihn freischalten zu müssen. Somit kannst du ihn ansehen und überprüfen, ohne das andere Gäste ihn auch bereits einsehen können. Hierbei kannst du zwischen zwei Varianten unterscheiden.
Das bedeutet, dass ausschließlich Teilnehmende in einer Gruppe mit der Berechtigung “Frontendadmin” einen DeepLink mit Erfolg benutzen können. Für alle anderen Nutzer, die nicht die Berechtigung “Frontendadmin” haben, führt der Link einfach wieder auf den Menüpunkt, der in der Reihenfolge des Menüs ganz oben steht und auch aktiviert ist.
Dies bedeutet, dass ausnahmslos alle Nutzer des Systems auch auf deaktivierte Menüpunkte Zugriff hätten, sofern sie den Link zu diesem deaktivierten Menüpunkt zur Verfügung hätten.
Hintergrund:
Alle Menüpunkte haben hinter der Stamm-URL der Veranstaltung eine individuelle Endung. Die Seite für das Profiformular endet z.B. auf &pg=profile, die Agenda endet auf &pg=agenda. Sollte hier ein Nutzer etwas findig sein und dieses Muster erkennen, könnte man theoretisch andere, noch unsichtbar geschaltete Menüpunkte erraten. Auch wenn die Wahrscheinlichkeit hierzu sehr gering ist, empfehlen wir dennoch, die DeepLinks nur den Frontendadmins zur Verfügung zu stellen.