Hallo

Ich verstehe nicht, worauf du mit deiner Vermischung von „Benutzer ändert Passwort, bleibt aber mit einer Session, die mit dem alten Passwort gestartet wurde, eingeloggt“ und „Benutzer muss regelmäßig sein Passwort ändern“ hinaus willst. Das eine hat mit dem anderen im Kontext dieses Threads nichts zu tun.

Felix' Idee einer Wahlmöglichkeit gefällt mir da eher weniger. Ob man Sessions nach Passwortänderung invalidiert, ist das Ergebnis eines Security-Assessments der betreffenden Site, keine Entscheidung des einzelnen Users.

und damit argumentierst Du - egal ob absichtlich oder nicht - in derselben Richtung wie das BSI, welches es einst auch als sicherer befand, wenn User dazu gezwungen werden, regelmäßig ihre Passwörter zu ändern. Userbevormundung ist nicht immer besser, auch nicht bei Fragen der Sicherheit!

Hier geht es aber nicht darum, dass der Benutzer vom System gezwungen wird, regelmäßig sein Passwort zu ändern, sondern darum, dass er das – aus welchen Gründen auch immer – (mutmaßlich einmalig) getan hat. Das Passwort wurde geändert und es geht darum, was daraus in Hinsicht auf bestehende Sessions folgen soll und ob es ein relevanter Bug ist, die vor der Passwortänderung erzeugten Sessions, die mit einer so nicht mehr existierenden Anmeldung erzeugt wurden, weiterbestehen zu lassen.

Was ein User tun darf oder nicht, regelt ein Rechtemanagement. Was ein gehackter Account darf, unterliegt damit auch diesem Rechtemanagement. Da hilft auch nicht, wenn eine Passwortänderung automatisch alle Sessions zerstört!

Das ist soweit korrekt. Aber auch darum geht es nicht, denn was der konkrete Benutzer tun darf und was nicht, steht ja, qua seiner vorhandenen Berechtigungen, bereits fest. Die Frage hier ist ja, ob bereits bestehende Sessions nach der Passwortänderung invalidiert werden sollen. Einerseits kann mit der Invalidierung der Sessions einem potentiell existierender Angreifer, der eine solche Session gekapert hat, verunmöglicht werden, diese Berechtigungen selbst zu nutzen, andererseits nötigt es dem eigentlichen Benutzer ab, sich auf allen Geräten erneut einzuloggen.

In Kürze also: Ist der mögliche Angriffsvektor so groß, dass es nötig erscheint, die vorhandenen Anmeldungen nach einer Passwortänderung zu killen und den Benutzer mit der Aufgabe, sich überall neu einzuloggen, aus seiner Bequemlichkeit zu holen?

Wenn ein User sein Passwort ändern will, weil er meint, dass sein Account gehackt wurde, mag er vielleicht genau deshalb alle Sessions damit killen.

Ich halte das prinzipiell für den richtigen, konsequenten Weg. Nicht nur bei Hackverdacht, sondern jedesmal, wenn ein neues Passwort festgelegt wird. Das passiert ja üblicherweise nicht aus Jux und Dallerei. Allerdings lasse ich bei „prinzipiell“ die mögliche Schwere der Bedrohung außen vor. Wenn ein Angreifer im Wiki mit einer gekaperten Anmeldung eines einfachen Benutzers Spam hinterlässt, ist das ärgerlich, aber mit etwas Arbeitsaufwand behebbar ^[1]. Wenn die gekaperte Session einem Benutzer mit erweiterten Berechtigungen gehört, kann das schnell gehörig in die Hose gehen (dazu ganz unten noch ein paar Worte).

Und wenn er nur sein Passwort vergessen hat und den Reset-Mechanismus bemüht, dann will er sehr wahrscheinlich nicht, dass er auf allen anderen Geräten aus seinen dortigen Sessions geworfen wird. Sollte das System das aber erzwingen, ist das eben Mist!

Warum sollte er das nicht wollen? Wenn ich für ein System, auf das ich von mehreren Geräten aus zugreife, ein neues Passwort festlege, erwarte ^[2] ich, mich mit diesem neuen Passwort überall erneut einloggen zu müssen. Mir fällt auf die Schnelle nicht einmal ein System ein, bei dem das gewollt anders wäre.

Hier im Forum bleibe ich angemeldet. Wer meine Session klaut, hat damit potenziell die Möglichkeit Admin-Funktionalitäten zu nutzen. Das benötigt zwar eintsprechende Klicks, aber keine erneute Passworteingabe. Man könnte darüber nachdenken, ob für solche Anfragen gesondert geprüft wird, wann das letzte Mal ein Passwort eingegeben wurde, um im Bedarfsfall erneut dazu aufzufordern.

Ist es wirklich sinnvoll, eine solche Extrawurst für bestimmte Berechtigungsgruppen zu braten? Für die Ausführung von bestimmten Aufgaben kann ich mir das noch vorstellen. In der NextCloud-Weboberfläche muss man als Admin, wenn man eine gewissen Anzahl an Minuten eingeloggt war, ohne eine Aktion auszuführen, sein Passwort eingeben, um dies oder das zu tun. Man könnte also die Ausführung bestimmter Aktionen an eine erneute Eingabe des Passworts binden. Wenn ein potentieller Angreifer aber das benötigte Passwort hat, wird damit aber auch nichts abgesichert.

Ich halte es hingegen nicht für sinnvoll, für „normale“ Benutzer eines Systems die Bequemlichkeit des angemeldet bleibens bereitzustellen aber genau jenen, die das System am Laufen halten, diese Bequemlichkeit per se vorzuenthalten ^[3]. Bliebe also eine zum im vorherigen Absatz beschriebenen Ansatz von NextCLoud vergleichbare Funktion. Aber eben mit der Einschränkung, dass das gegen einen Angriff mit bekanntem Passwort nicht hilft.

Mit dem ursprünglich diskutierten Problem, was mit vor einer Passwortänderung erzeugten Sessions eines Benutzers passieren soll, hat das, wie auch eine von dir ins Spiel gebrachte erzwungene regelmäßige Passwortänderung, aber nichts mehr zu tun. Entweder man hält das Angriffsrisiko für hoch genug oder die Logik, eine, mit einem nicht mehr gültigen Passwort erfolgte, Anmeldung/Session aufrechtzuerhalten, für falsch, dann muss man die Anmeldungen killen und einen neuen Login erzwingen, oder eben nicht. Ich bin für den Zwang einer erneuten Anmeldung ^[4], glaube aber in Bezug auf die Wiki-Software (und damit fing der Thread ja an) nicht, dass hier irgendwer die Kapazitäten hat, das softwareseitig zu lösen. Falls doch, sollte das auch an Wikimedia übermittelt werden, damit das für alle Betreiber der Software bereitgestellt werden kann.

Tschö, Auge