Passwort-Richtlinien DSGVO


#1

Entspricht die aktuelle Oxid Version CE 6.1.x den Richtlinien bzgl. Passwortschutz?

Der Kunde sollte gezwungen werden folgendes zu beachten:
z.B.: ein Passwort muss aus mindestens zehn Zeichen bestehen. Innerhalb des Passworts sollte mindestens ein Sonderzeichen (wie z.B. ?, #, !) enthalten sein. Es sollte sowohl Groß- als auch Kleinbuchstaben sowie Ziffern enthalten.

Bei dem nächsten Login, sollte der Kunde hingewiesen werden, wenn das Passwort nicht diesen Richtlinien entspricht.

Aktuell erkenne ich dies nicht.
Liege ich richtig?


#2

wo steht das denn in der DSGVO?


#3

Ein zu einfaches Passwort stellt ein Risiko für den Missbrauch dar.
Benutzen Kunden z.B. das Passwort “shop” ist es einfach zu hacken.
Kundendaten und Bestelldaten können abgerufen werden.

Die Kunden sollten auf dieses Risiko hingewiesen werden und beim nächsten Login gezwungen werden, ein neues und sicheres Passwort zu vergeben.

Jeder Shopbetreiber ist gezwungen, das maximale an Sicherheit der Daten zu gewährleisten.

Einige Betreiber fangen nun an, dies in Ihren Plattformen zu integrieren.


#4

okay, versuchen wir es noch ein mal:
WO in den DSGVO Vorgaben steht, dass dem Kunden ein 10 Zeichen langes Passwort mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen aufgezwungen werden soll.

Artikelnummer reicht:


#5

Es geht viel mehr darum:
Auch Anbieter sind in der Pflicht.
Ich glaube kaum, dass der Shopbetreiber hier “so einfach herauskommt”.

Auszug (auch wenn es schon ein alter Artikel ist):

Passwörter sollten nach Ansicht der Prüfer mindestens zehn Stellen und eine ausreichende Zeichenkomplexität besitzen (Groß- und Kleinbuchstaben, Ziffern). Falls sich der Kunde freiwillig entscheidet, ein schwächeres Passwort zu wählen, sei dies nur dann zulässig, wenn wirksam über die Risiken informiert wurde. Dies könne zum Beispiel mit Hilfe eines „Passwortbalkens“ geschehen, der entsprechend der Komplexität und Länge des Passworts seine Farbe von rot (unsicher) auf grün (sicher) ändert.

Auszug Verbaucherzentrale:
Die Verbraucherzentrale appelliert an die Anbieter, zumindest im Hinblick auf die
Mindestzeichenlänge zwingende Vorgaben für das Passwort zu machen.
Ein Passwort sollte mindestens acht Zeichen lang sein, besser noch zwölf Zeichen. Die
maximal mögliche Zeichenlänge sollte nicht unter 64 Zeichen liegen.


#6

zwischen “nach Ansicht der Prüfer sollten Passwörter … der Kunde darf aber trotzdem schwaches Passwort nehmen” und der ursprünglichen Aussage “Passwörter müssen” gibts aber einen gewaltigen Unterschied.

So lange es nicht wörtlich in irgendeinem Gesetz steht "Passwörter müssen … " wird hier nix passieren.


#7

Hallo,
wäre doch eine Idee für ein schönes Modul. Solange es nicht Pflich ist würde ich eher darauf verzichten, aber wenn es Leute gibt, die eine Konversionhürde einbauen wollen … Warum nicht?
Noch liegt es in der Verantwortung des jeweiligen User, wie (un)sicher sein eigenes Passwort ist.
In den Standard darf es aber nicht, solange es kein gesetzlicher Zwang ist.
cya


#8

Hallo,
um die Kunden bereits beim Registrieren zu nerven, gibt es bereits ein Modul :smiley: :


#9

Danke! Funktioniert wunderbar!