Das Thema Sicherheit ist in TYPO3 immer ein Thema, da das CMS im Gegensatz zu anderen zu den sichersten gehört. Doch das Thema Sicherheit ist nicht nur Sache der Programmierer und Administratoren, sondern auch der Redakteure. Ein Redakteur kann mithilfe eines sehr schwachen Passworts den Backend-Zugang für potentielle Angreifer bieten. Im Backend von TYPO3 gibt es dann natürlich neue Möglichkeiten, sich Zugang zu weiteren Bereichen des Systems zu machen. Dazu kommt noch, dass es seit einiger Zeit die sog. „Rainbow Tables“ gibt und auch einen Online-Checks für MD5-Hashes. Dies ist eine Sammlung von allem Passwortkombinationen bis zu 8 Zeichen inkl. dem dazugehörigen MD5-Hash. Den MD5-Hash bekommt man „relativ“ leicht bei einer Sicherheitslücke wie einer SQL-Injection. Diese „Lücke“ will ich mit meiner TYPO3-Extension „be_secure_pw“ schließen!
In der Extension hat man die Möglichkeit, gewisse Parameter für die Vorgabe eines Benutzerpassworts zu setzen. Einerseits kann man die Mindestlänge des Passworts bestimmen, man kann aber auch auf die „Stärke“ des Passworts Einfluss nehmen. Durch die Bedingungen (Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen) kann man dem Redakteur ein „starkes“ Passwort erzwingen. Bevorzugt sollte das Passwort natürlich mehr als 8 Zeichen haben, um den „Rainbow Tables“ schon mal den Schlüssel aus der Hand zu nehmen. Stärkend kommt hinzu, wenn man eine Kombination aus Klein-, Großbuchstaben und Zahlen erzwingt. Die Vorgabe von Sonderzeichen ist natürlich noch sicherer. In der Extension kann man alle 4 Prüfungen aktivieren, der Redakteur kann sich aber auch zwischen 3 der 4 Vorgaben entscheiden (z.B. Groß-/Kleinbuchstaben/Zahl oder Kleinbuchstabe/Zahl/Sonderzeichen).
Diese Extension ist auch mit Version TYPO3 4.3 nutzbar und zudem mit der Erweiterung t3sec_saltedpw bzw. saltedpasswords kompatibel. Ihr finde die Extension natürlich im TER. Feedback ist herzlich Willkommen.
Dies ist ein Gastbeitrag von Thomas Löffler.