PASSWORT-POLICIES für das DFBnet gültig ab 25.Oktober 2012 System: DFBnet (alle Module) Version: 4.20 Speicherpfad/Dokument: 20121024_PasswortPoliciesRollout.doc Erstellt: Letzte Änderung: Geprüft: Freigabe: Datum: 21.09.2012 24.10.2012 18:00 Version: 1.0 1.1 1.1 1.1 Name: P. Smerzinski T.Kaden (HFV) T.Kaden (HFV) T.Kaden (HFV) Ansprechpartner bei Fragen / Problemen die am Wochenende auftreten: DFBnet Helpdesk 01805-776 785 (14 Cent pro Minute, max 42 Cent über Mobiltelefon) 2012 DFB-Medien GmbH & Co. KG Alle Texte und Abbildungen wurden mit größter Sorgfalt erarbeitet, dennoch können etwaige Fehler nicht ausgeschloss en werden. Eine Haftung der DFB-Medien, gleich aus welchem Rechtsgrund, für Schäden oder Folgeschäden, die aus der An- und Verwendung der in diesem Dokument gegebenen Inform ationen entstehen können, ist ausgeschlossen. Das Dokument ist urheberrechtlich geschützt. Die Weitergabe sowie die Veröffentlichung dieser Unterlage sind ohne die ausdrückliche und schriftliche Genehmigung der DFB-Medien nicht gestattet. Zuwiderhandlungen verpflichten zu Schadensersatz. Alle Rec hte für den Fall der Patenterteilung oder der GM-Eintragung vorbehalten. Die in diesem Dokument verwendeten Soft- und Hardwarebezeichnungen sind in den meisten Fällen auch eingetragene Warenzeichen und unterliegen als solche den gesetzlichen Bestimmungen.
Inhalt: 1. Einführung der Passwort Policies... 3 1.1 Allgemein... 3 1.2 Termine... 3 1.3 Tabellarischer Überblick der Sicherheitsstufen... 3 1.4 Liste der DFBnet Kennungen des HFV mit ihren Sicherheitsstufen... 4 1.5 Regeln für die Prüfung... 4 1.6 Beispiele erlaubte und nicht erlaubte Passwörter (Sicherheitsstufe mittel)... 5 1.7 Beispiel Änderungshistorie Passwörter (Sicherheitsstufe mittel)... 5 2. Neues Passwort anfordern... 6 2.1 Voraussetzung bei Kennungen der Vereine... 6 2.2 Voraussetzungen bei Kennungen der Verbandsmitarbeiter... 6 2.3 Dialogführung bei Anforderung des Passworts... 7 3. Dialogführung bei der Änderung des Passworts... 7 3.1 Masken bei Sicherheitsstufe niedrig... 7 3.2 Dialogführung bei Sicherheitsstufe mittel... 8 3.3 Dialogführung bei DFBnet Pass, DFBNet Lizenz und DFBNet Verband... 9 4. Abbildungsverzeichnis... 10 5. Tabellenverzeichnis... 10 6. Bearbeitungshistorie... 10 20121024_PasswortPoliciesRollout.doc 2 von 10 24.10.2012 18:00:00
1. Einführung der Passwort Policies 1.1 Allgemein Bisher waren die Sicherheitsanforderungen an ein Passwort für den Zugang zum DFBnet sehr gering. Dies soll nun geändert werden. Abhängig von den Daten, die in einem DFBnet Modul verarbeitet werden, wird die Sicherheitsstufe des Passwortes eingestellt. Hierzu wurden im Vorfeld bereits entsprechende Veranstaltungen durchgeführt. In den nachfolgenden Kapiteln finden Sie eine Liste der DFBnet Kennungen mit ihren definierten Sicherheitsstufen und eine Beschreibung der Sicherheitsstufen. 1.2 Termine Der Termin für die Scharfschaltung der Sicherheitsstufen wurde auf den 25.Oktober 2012 festgelegt. Dieser Termin fällt zusammen mit der Produktivsetzung des DFBnet Releases 4.20. Ab diesem Zeitpunkt gelten die definierten Sicherheitsstufen. 1.3 Tabellarischer Überblick der Sicherheitsstufen Kriterium Niedrig Mittel Hoch Länge des Passworts 6 8 8 Davon Mindestanzahl der Kleinbuchstaben 2 Davon Mindestanzahl der Großbuchstaben 1 Davon Mindestanzahl der Ziffern 1 1 Davon Mindestanzahl der Sonderzeichen 1 1 Davon erlaubte Mehrfachnennung eines Zeichens 3 3 3 Anzahl der unterschiedlichen Zeichen bei Passwortänderung 2 2 3 Passwort darf die Kennung enthalten Nein Nein Nein Passwort darf den Namen enthalten Nein Nein Nein Passwort darf den Vornamen enthalten Nein Nein Nein Passwort darf das eigene Geburtsdatum enthalten Nein Nein Nein Passwort muss sich von der Kennung unterscheiden (überflüssig!) Anzahl der Passwörter, die nicht erneut vergeben werden dürfen Ja Ja Ja 1 2 3 Passwort läuft ab Nein Ja Ja Passwort läuft nach der letzten Aktualisierung ab 180 T. 90 T. Passwort läuft bei Anforderung per E-Mail ab 60 T. 60 T. 7 T. Tabelle 1 Sicherheitsstufen mit ihren Kennziffern Achtung: Die neuen Passwörter dürfen kein ä, ö, ü, Ä, Ö oder Ü enthalten, da sonst die nächste Anmeldung nicht durchgeführt werden kann. 20121024_PasswortPoliciesRollout.doc 3 von 10 24.10.2012 18:00:00
1.4 Liste der DFBnet Kennungen des HFV mit ihren Sicherheitsstufen Nutzer Kennung Sicherheitsstufe Zugriff auf Verein 34... 0 Niedrig Ergebnismeldung, Pass- Statusabfrage, MCDonalds Fussballabzeichen Verein 34... 1 Mittel Elektronisches Postfach, elektronischer Meldebogen, Pass- Statusabfrage Verein 34... SPH Niedrig bearbeiten elektronischer Spielbericht Herren Verein 34... SPF Niedrig bearbeiten elektronischer Spielbericht Frauen und Mädchen Verein 34... SPJ Niedrig bearbeiten elektronischer Spielbericht Jugend Verbandsmitarbeiter 349... Mittel Elektronisches Postfach, SpielPlus, Pass-Statusabfrage, etc. Schiedsrichter 34SR... Niedrig Bearbeiten elektronischer Spielbericht, Zugriff auf eigene Daten SR- Ansetzung Tabelle 2 Einstufung der DFBnet Kennungen 1.5 Regeln für die Prüfung Die Prüfung auf Änderung des in Kapitel 1.3. beschriebenen Zeitablaufs des Passworts erfolgt nur bei Anmeldung in SpielPLUS bzw. den Applikationen der Geschäftsstelle Im elektronischen Postfach findet keine Prüfung des Zeitablaufs statt. Eine Änderung des Passworts für das Postfach ist nur bei der Einwahl mit der o.g. Kennung in SpielPLUS möglich. Das Passwort unterliegt einer Ablaufzeit. Je höher die Sicherheitsstufe, desto kürzer ist der Ablaufzeitpunkt. In SpielPLUS wird die Dauer bis zum Ablauf des Passworts im oberen Bereich angezeigt. Abbildung 1 Anzeige des Ablauf des Passworts Ist dieser erreicht, wird der Benutzer vom System nach dem Einloggen aufgefordert, das alte Passwort noch einmal einzugeben und sich dann ein neues Passwort auszudenken. Die Regeln zu diesem neuen Passwort sind ebenfalls wieder abhängig von der Sicherheitsstufe der berechtigten Module. Der Benutzer wird anhand von Hilfetexten zur Eingabe des neuen Passwortes geführt. 20121024_PasswortPoliciesRollout.doc 4 von 10 24.10.2012 18:00:00
1.6 Beispiele erlaubte und nicht erlaubte Passwörter (Sicherheitsstufe mittel) Nicht erlaubte Passwörter 34934008 (identisch mit Benutzerkennung) 210664-T, T- 210664! (enthält Geburtsdatum) Thomas-1 (enthält Vornamen) aaaa-123 (viermal a) Geheimer (keine Zahl, kein Sonderzeichen) erlaubte Passwörter Geheim-1 2106T-64 (Geburtsdatum nicht durchgängig) 1.7 Beispiel Änderungshistorie Passwörter (Sicherheitsstufe mittel) 1.Passwort: ABBB-K28 2.Passwort: nicht erlaubt: ABBB-K29 (nur 1 Zeichen geändert) CCCC-K28 (4 mal gleiches Zeichen) t-210664 (enthält Geburtsdatum) erlaubt: mkk-tk664 3.Passwort: nicht erlaubt: ABBB-K28 (2 Passwörter dazwischen; 1.Passwort erst wieder als 3. erlaubt) 664-mkktk (Anzahl geänderte Zeichen zu vorigem Passwort nur 1 statt 2) mkk-tk764 (Anzahl geänderte Zeichen zu vorigem Passwort nur 1 statt 2) erlaubt: geheim-1 4.Passwort: nicht erlaubt: mkk-tk664 (2 Passwörter dazwischen; 2.Passwort erst wieder als 5. erlaubt) geheim-2 (Anzahl geänderte Zeichen zu vorigem Passwort nur 1 statt 2) erlaubt: 2106T-64 (Geburtsdatum nicht durchgängig) ABBB-K28 (2 andere Passwörter dazwischen) 20121024_PasswortPoliciesRollout.doc 5 von 10 24.10.2012 18:00:00
2. Neues Passwort anfordern Mit der Einführung der Passwort-Policies können sich die Anwender des DFBnet ein neues Passwort zusenden lassen, wenn sie das alte Passwort vergessen haben. Um dies aber ausführen zu können sind für Vereine bzw. Verbandsmitarbeiter bestimmte Voraussetzungen erforderlich. 2.1 Voraussetzung bei Kennungen der Vereine Die Vereine müssen im Vereinsmeldebogen im Karteireiter Vereinsadressen im Feld E-Mail eine Adresse eintragen, an die neue Passwörter gesendet werden sollen. Achtung: Dies darf nicht die Adresse des elektronischen Postfachs sein. Abbildung 2 E-Mail Vereine im Meldebogen anpassen 2.2 Voraussetzungen bei Kennungen der Verbandsmitarbeiter Die Verbandsmitarbeiter müssen bei Ihren persönlichen Daten im Feld E-Mail eine Adresse eintragen, an die neue Passwörter gesendet werden sollen. Achtung: Dies kann nicht die Adresse des elektronischen Postfachs sein. Abbildung 3 Änderung E-Mail bei Verbandsmitarbeitern eingeben Die Pflege kann nach Anmeldung in SpielPLUS aufgerufen werden, in dem man im grauen B e- reich unten links auf Benutzerdaten bearbeiten klickt. Abbildung 4 Änderung E-Mail bei Verbandsmitarbeitern aufrufen 20121024_PasswortPoliciesRollout.doc 6 von 10 24.10.2012 18:00:00
2.3 Dialogführung bei Anforderung des Passworts Bevor Sie sich in SpielPLUS anmelden klicken Sie links im grauen auf Passwort vergessen. Es erscheint die Maske zur Eingabe der Benutzerkennung und der E-Mail. Danach klicken Sie auf die Schaltfläche neues Passwort anfordern. Abbildung 5 neues Passwort anfordern Die eingegebene E-Mail muss je nach Benutzertyp mit den unter 2.1 und 2.2. beschriebenen Adressen übereinstimmen. Ansonsten erscheint folgende Fehlermeldung. Abbildung 6 Fehlermeldung neues Passwort anfordern 3. Dialogführung bei der Änderung des Passworts Sollte das Passwort abgelaufen sein und Sie melden sich in SpielPLUS an erscheint bei der Anmeldung ein Hinweis, dass Sie ein Passwort einer bestimmten Sicherheitsstufe vergeben müssen. (hier als Beispiel Sicherheitsstufe mittel) Abbildung 7 Aufforderung Änderung Passwort bei der Sicherheitsstufe mittel 3.1 Masken bei Sicherheitsstufe niedrig Nach der Eingabe des alten Passworts erscheinen im oberen Bereich unter den Fehlermeldungen die Regeln für das zu vergebende Passwort. Regeln, die noch nicht erfüllt sind, haben ein Kreuz vor dem Text. Wenn die Regel erfüllt wird ändert sich das Kreuz in einen Haken. 20121024_PasswortPoliciesRollout.doc 7 von 10 24.10.2012 18:00:00
Abbildung 8 Anzeige Regeln bei der Sicherheitsstufe niedrig Wird die Schaltfläche Speichern angeklickt werden die Regeln für das zu vergebende Passwort nochmals geprüft und entsprechende Fehlermeldungen ausgegeben. Eine Speicherung des Passworts ist dann nicht möglich. Nachfolgend sehen Sie ein Beispiel dafür, dass der Benutzer beim Passwort sein eigenes Geburtsdatum eingegeben hat. Abbildung 9 Anzeige Regeln bei der Sicherheitsstufe niedrig mit Fehlermeldung 3.2 Dialogführung bei Sicherheitsstufe mittel Nach der Eingabe des alten Passworts erscheinen im oberen Bereich unter den Fehlermeldungen die Regeln für das zu vergebende Passwort. Regeln, die noch nicht erfüllt sind, haben ein Kreuz vor dem Text. Wenn die Regel erfüllt wird ändert sich das Kreuz in einen Haken. Abbildung 10 Anzeige Regeln bei der Sicherheitsstufe mittel Wird die Schaltfläche Speichern angeklickt werden die Regeln für das zu vergebende Passwort nochmals geprüft und entsprechende Fehlermeldungen ausgegeben. Eine Speicherung des Passworts ist dann nicht möglich. 20121024_PasswortPoliciesRollout.doc 8 von 10 24.10.2012 18:00:00
3.3 Dialogführung bei DFBnet Pass, DFBNet Lizenz und DFBNet Verband Wenn Sie sich in der einer der Applikationen der Geschäftsstelle angemeldet haben erscheint die nachstehende Meldung, falls Ihr Passwort abgelaufen ist. Abbildung 11 Anzeige abgelaufenes Passwort bei den Verbandsapplikationen Nach Anklicken der Schaltfläche OK wird die Maske zur Änderung des Passworts angezeigt. Hier geben Sie zunächst das alte und dann das neue Passwort ein und klicken auf die Schaltfläche speichern. Abbildung 12 Passwortänderung bei den Verbandsapplikationen Sollte eine der Bedingungen nicht erfüllt sein, erscheint eine Maske mit einem Fehlerhinweis. Abbildung 13 Anzeige Regeln bei der Sicherheitsstufe niedrig Achtung: Da dieser Hinweis nicht sehr hilfreich ist und alle Mitarbeiter der Geschäftsstelle auch ein Postfach haben empfiehlt es sich, bei der Maske zur Passwortänderung auf die Schaltfläche Schließen zu klicken und die Änderung des Passworts wie im vorigen Kapitel beschrieben in SpielPLUS durchzuführen. 20121024_PasswortPoliciesRollout.doc 9 von 10 24.10.2012 18:00:00
4. Abbildungsverzeichnis Abbildung 1 Anzeige des Ablauf des Passworts... 4 Abbildung 2 E-Mail Vereine im Meldebogen anpassen... 6 Abbildung 3 Änderung E-Mail bei Verbandsmitarbeitern eingeben... 6 Abbildung 4 Änderung E-Mail bei Verbandsmitarbeitern aufrufen... 6 Abbildung 5 neues Passwort anfordern... 7 Abbildung 6 Fehlermeldung neues Passwort anfordern... 7 Abbildung 7 Aufforderung Änderung Passwort bei der Sicherheitsstufe mittel... 7 Abbildung 8 Anzeige Regeln bei der Sicherheitsstufe niedrig... 8 Abbildung 9 Anzeige Regeln bei der Sicherheitsstufe niedrig mit Fehlermeldung... 8 Abbildung 10 Anzeige Regeln bei der Sicherheitsstufe mittel... 8 Abbildung 11 Anzeige abgelaufenes Passwort bei den Verbandsapplikationen... 9 Abbildung 12 Passwortänderung bei den Verbandsapplikationen... 9 Abbildung 13 Anzeige Regeln bei der Sicherheitsstufe niedrig... 9 5. Tabellenverzeichnis Tabelle 1 Sicherheitsstufen mit ihren Kennziffern... 3 Tabelle 2 Einstufung der DFBnet Kennungen... 4 6. Bearbeitungshistorie Version Wer Wann Was 1.0 P. Smerzinski 21.09.2012 Neu erstellt 1.1 T.Kaden (HFV) 24.10.2012 Anpassung an HFV 20121024_PasswortPoliciesRollout.doc 10 von 10 24.10.2012 18:00:00