Passwort-Verwaltung

Passwortsicherheit und Passwortlebenszyklus

Der Admin und der Administrator können die Anforderungen an die Passwortsicherheit in den tomedo®-Einstellungen unter Praxis → Login & Sicherheit definieren.

Im Feld 1 kann die Mindeststärke von Nutzerpasswörtern festgelegt werden:

• keine
• unsicher: Passwörter haben einen Informationsgehalt von 20-40 Bits
• durchschnittlich: Passwörter haben einen Informationsgehalt von 40-60 Bits
• sicher: Passwörter haben einen Informationsgehalt von 60-80 Bits
• sehr sicher: Passwörter haben einen Informationsgehalt von mindestens 80 Bits

Es handelt sich um allgemeine Passwort-Stärken. Innerhalb einer Praxis sollte es vollkommen ausreichen, wenn die Passwörter die Stärke „durchschnittlich“ erfüllen. Ein Informationsgehalt von 20 Bits entspricht etwa 3 zufälligen Zeichen.

Bleibt die Checkbox darunter 2 deaktiviert, bleiben alle Nutzer, die bereits ein Passwort haben, von den Anforderungsänderungen vorerst unberührt und können sich weiter mit ihrem gewohnten Passwort einloggen, auch wenn das gespeicherte Passwort nicht der neu festgelegten Anforderung genügt. Nutzer, die noch kein Passwort bis dahin hatten, sind nun beim nächsten Login in tomedo® gezwungen, ein Passwort gemäß der definierten Mindestsicherheit zu setzten. Ändert ein Nutzer sein Passwort, muss dieses ebenfalls der Passwortmindestsicherheit entsprechen. Wurde beispielsweise die Sicherheitsanforderung auf durchschnittlich gesetzt, muss das neue Passwort mindestens durchschnittlich sein. Das neue Passwort könnte aber natürlich auch sicher oder sehr sicher sein. Passwörter mit der Sicherheitsstufe „unsicher“ oder gar nicht gesetzt werden nicht akzeptiert und folglich nicht gespeichert.

Im Bereich „Passwortlebenszyklus“ ist über die Checkbox im Feld 3 die Gültigkeitsdauer in Tagen seit der letzten Änderung von Passwörtern festzulegen. Ist die Gültigkeitsdauer überschritten, muss der Nutzer beim nächsten Login ein neues Passwort setzen.

Weiter kann über die Checkbox in Feld 4 geregelt werden, ob Passwörter mehrmals verwendet werden können. Mit Aktivieren der Checkbox wird die Passworthistorie für die Nutzer gespeichert. Bereits gespeicherte Passwörter erfüllen stets keine Sicherheitsanforderung. Dementsprechend kann ein Passwort nicht mehrmals verwendet werden.

Hinweis: In der Passworthistorie werden auch die Passwörter gespeichert, die vom Admin für einen bestimmten Nutzer gesetzt wurden.

Über den Button „Passworthistorie für alle Nutzer zurücksetzen“ 5 kann die gesamte Passworthistorie für alle Nutzer gelöscht werden. Anschließend können die Nutzer bereits verwendete Passwörter erneut speichern.

Speichern von Passwörtern

Jeder Nutzer kann in den Einstellungen von tomedo® unter Nutzer → Anmeldung ein neues Passwort speichern.

Dazu muss das alte Passwort 1 korrekt eingegeben werden und das neue Passwort 2 muss den vom Admin gesetzten Sicherheitsanforderungen entsprechen.

In dem Balken 4 wird die Sicherheit des aktuell eingegebenen Passwortes angezeigt sowie die Mindestsicherheit (ein Strich im Balken), die erreicht werden muss. Bei der Anzeige der Bewertung bezüglich Passwortsicherheit im Balken werden bereits vergebene Passwörter, welche je nach Einstellungen nicht mehrmals verwendet werden dürfen, nicht berücksichtigt. Das Feedback darüber erhält der Nutzer erst nach dem Speichern.

Das Passwort muss außerdem noch einmal wiederholt 3 werden.

Über den Button „speichern“ 5  kann das neue Passwort gespeichert werden. Wurde die Mindestsicherheit nicht erreicht, stimmen die neuen Passworteingaben nicht überein oder ist das alte Passwort falsch, wird das neue Passwort nicht gespeichert und das alte Passwort ist aktiv. In einem Hinweisfenster erhält der Nutzer Feedback, ob das Passwort gespeichert wurde bzw. warum nicht.

Hinweis: Über den Button „Aktualisieren“ am unteren Reiter des Fensters können neue Passwörter nicht gespeichert werden!

Admins können via Nutzerverwaltung (Admin → Nutzerverwaltung oder Admin → Praxisorganisation → Nutzer) unter dem Reiter „Mitarbeiter“ die Passwörter für alle Nutzer festlegen. Das zu setzende Passwort unterliegt ebenfalls den gesetzten Sicherheits- sowie Passwortlebenszyklus-Anforderungen.

Im Balken 1 wird analog zum Fenster „Logineinstellungen“ die Sicherheit, des aktuell eingegebenen Passwortes angezeigt sowie die aktuelle Sicherheit in Worten 2. Wenn eine Mindestsicherheit angegeben wird, die erreicht werden muss, wird zusätzlich ein vertikaler Balken angezeigt, der darstellt, ob die aktuelle Sicherheit darüber oder darunter liegt. Bei der Bewertung der Passwortsicherheit werden die bereits gesetzten Passwörter nicht berücksichtigt. Diese Validierung erfolgt erst beim Verlassen des Passwort-Eingabefeldes. Falls das Passwort in der Vergangenheit bereits einmal verwendet wurde, erscheint ein entsprechender Hinweis.

Über das Symbol 3 können die Einstellungen „Login & Sicherheit“ geöffnet und geändert werden. Hinweis: Die neu gesetzten Anforderungen sind sofort aktiv.

Ist ein Passwort gesetzt, wird das Passwortfeld 4 mit 5 Sternen ausgepunktet. Analog dazu ist das Passwortfeld leer, wenn kein Passwort gesetzt ist.

Mit Klick in das Passwortfeld wird das ausgepunktete Passwort nicht zurückgesetzt!

Achtung: Die Punkte entsprechen 5 Sternen und sollten deswegen nicht für das neue Passwort verwendet werden!

Die automatische Bildschirmsperre

Die automatische Bildschirmsperre gewährleistet die Sicherheit vor dem physischem Zugriff Dritter und unterstützt den Betriebsablauf durch Vermeiden von Versehen in der Nutzung falscher Accounts.

Um die automatische Bildschirmsperre zu nutzen, muss der Haken in gesetzt und eine Zeit in Sekunden festgesetzt werden.

Die Screenlock-Zeiten können sowohl vom Administrator für alle Nutzer als auch individuell gesetzt werden. Die vom Admin gesetzte Zeit gilt dabei als obere Schranke, das heißt einzelne Nutzer können lediglich kürzere Zeiten einstellen.