Passwort-Verwaltung

Passwortsicherheit und Passwortlebenszyklus

Der Admin und der Administrator können die Anforderungen an die Passwortsicherheit in den tomedo® Einstellungen unter Praxis → Login & Sicherheit definieren.

Im Feld 1 kann die Mindeststärke von Nutzerpasswörtern festgelegt werden:

• keine
• unsicher: Passwörter haben einen Informationsgehalt von 20-40 Bits
• durchschnittlich: Passwörter haben einen Informationsgehalt von 40-60 Bits
• sicher: Passwörter haben einen Informationsgehalt von 60-80 Bits
• sehr sicher: Passwörter haben einen Informationsgehalt von mindestens 80 Bits

Es handelt sich um allgemeine Passwort-Stärken. Innerhalb einer Praxis sollte es vollkommen ausreichen, wenn die Passwörter die Stärke «durchschnittlich» erfüllen. Ein Informationsgehalt von 20 Bits entspricht etwa 3 zufälligen Zeichen.

Bleibt die Checkbox im Feld 2 deaktiviert, bleiben alle Nutzer, die bereits ein Passwort haben, von den Anforderungsänderungen vorerst unberührt und können sich weiter mit ihrem gewohnten Passwort einloggen – auch wenn das gespeicherte Passwort nicht der neu festgelegten Anforderung genügt. Nutzer, die bis zu diesem Zeitpunkt noch kein Passwort haben, sind nun beim nächsten Login in tomedo® gezwungen ein Passwort gemäss der definierten Mindestsicherheit zu setzten. Ändert ein Nutzer sein Passwort, muss das neue Passwort ebenfalls der Passwortmindestsicherheit entsprechen. Wurde beispielsweise die Sicherheitsanforderung auf durchschnittlich gesetzt, muss das neue Passwort mindestens durchschnittlich sein. Das neue Passwort könnte aber sicher oder sehr sicher sein. Passwörter mit der Sicherheitsstufe unsicher oder gar nicht gesetzt, werden nicht akzeptiert und folglich nicht gespeichert.

Wenn Sie die Checkbox aktivieren, werden alle Nutzer, deren Passwörter nicht der eingestellten Sicherheitsstufe entsprechen, gezwungen, beim nächsten Anmelden in tomedo® ein neues, den Anforderungen entsprechendes Passwort zu setzen.

Im Bereich Passwortlebenszyklus ist über die Checkbox im Feld 3 die Gültigkeitsdauer in Tagen seit der letzten Änderung von Passwörtern festzulegen. Ist die Gültigkeitsdauer überschritten, muss der Nutzer beim nächsten Login ein neues Passwort setzen.

Weiter kann über die Checkbox in Feld 4 geregelt werden, ob Passwörter mehrmals verwendet werden können. Mit Aktivieren der Checkbox wird die Passworthistorie für die Nutzer gespeichert. Bereits gespeicherte Passwörter erfüllen automatisch keine Sicherheitsanforderung mehr. Dementsprechend kann ein Passwort nicht mehrmals verwendet werden.

Hinweis: In der Passworthistorie werden auch die Passwörter gespeichert, die vom Admin für einen bestimmten Nutzer gesetzt wurden.

Mit dem Button «Passworthistorie für alle Nutzer zurücksetzen» 5 kann die gesamte Passworthistorie für alle Nutzer gelöscht werden. Anschliessend können die Nutzer bereits verwendete Passwörter erneut speichern.

Speichern von Passwörtern

Jeder Nutzer kann in den tomedo® Einstellungen unter Nutzer → Anmeldung ein neues Passwort speichern.

Dazu muss das aktuelle Passwort 1 korrekt eingegeben werden und das neue Passwort 2 muss den vom Admin gesetzten Sicherheitsanforderungen entsprechen. Zur Sicherheit muss das neue Passwort wiederholt werden. In dem Balken 3 wird die Sicherheit des aktuell eingegebenen Passwortes angezeigt sowie die Mindestsicherheit (ein Strich im Balken), die erreicht werden muss. Bei der Anzeige der Bewertung bezüglich Passwortsicherheit im Balken werden bereits vergebene Passwörter, welche je nach Einstellungen nicht mehrmals verwendet werden dürfen, nicht berücksichtigt. Das Feedback darüber erhält der Nutzer erst nach dem Speichern.

Über den Button «speichern» 4 kann das neue Passwort gespeichert werden. Wurde die Mindestsicherheit nicht erreicht, stimmen die neuen Passworteingaben nicht überein oder ist das alte Passwort falsch, wird das neue Passwort nicht gespeichert und das alte Passwort ist aktiv. In einem Hinweisfenster erhält der Nutzer Feedback, ob das Passwort gespeichert wurde bzw. warum nicht.

Achtung: Über den Button „Aktualisieren“ können neue Passwörter nicht gespeichert werden! Dies funktioniert nur über den «speichern»-Button.

Admins können ausserdem auch via Nutzerverwaltung (Admin → Nutzerverwaltung oder Admin → Praxisorganisation → Nutzer) die Passwörter für alle Nutzer festlegen. Das zu setzende Passwort unterliegt ebenfalls den gesetzten Sicherheits- sowie Passwortlebenszyklus-Anforderungen. Im Feld direkt unter «Passwort/Login» 5 können Sie verschlüsselt das neue Passwort eintippen. Das Feld zeigt farbig an, ob es den Anforderungen entspricht. Im Beispiel unten ist das Feld so lange rot hinterlegt, bis es sicher genug ist. Im Balken 6 wird analog zum Fenster „Logineinstellungen“ die Sicherheit des aktuell eingegebenen Passwortes durch einen farbigen Balken und eine Anzeige in Worten dargestellt. Ausserdem zeigt ein Strich, ab welchem Punkt die Mindestsicherheit 7 erreicht ist.

Bei der Bewertung der Passwortsicherheit werden die bereits gesetzten Passwörter nicht berücksichtigt. Diese Validierung erfolgt erst beim Verlassen des Passwort-Eingabefeldes. Falls das Passwort in der Vergangenheit bereits einmal verwendet wurde, erscheint ein entsprechender Hinweis.

Über die drei Punkte 8 können die Einstellungen «Login & Sicherheit» geöffnet und geändert werden. Die neu gesetzten Anforderungen sind sofort aktiv.

Die automatische Bildschirmsperre

Die automatische Bildschirmsperre gewährleistet die Sicherheit vor dem physischem Zugriff Dritter und unterstützt den Betriebsablauf durch Vermeiden von Versehen in der Nutzung falscher Accounts.

Um diese zu aktivieren, gehen Sie in die tomedo® Einstellungen zu Nutzer → Anmeldung. Um die automatische Bildschirmsperre zu nutzen, muss der Haken 1 gesetzt und eine Zeit 2 in Sekunden festgesetzt werden.

Die Screenlock-Zeiten können sowohl vom Administrator für alle Nutzer als auch individuell gesetzt werden. Die vom Admin gesetzte Zeit gilt dabei als obere Schranke, das heisst einzelne Nutzer können lediglich kürzere Zeiten einstellen.