REOSA Docs LogoREOSADocs
Anmelden
REOSA Docs
§ 02 · Master-Password-Policy

Master-Password-Policy

Tenant-weite Vorgaben für Master-Password-Stärke im Zugangsdaten-Tresor: Mindestlänge, Komplexitäts-Regeln, optionaler Ablauf und unsere Empfehlung für Maklerbüros.

Die Master-Password-Policy ist eine Tenant-weite Vorgabe, die festlegt, wie stark die Master-Passwörter aller Tresor-User sein müssen. Sie greift jedes Mal, wenn ein:e User ein Master-Password setzt oder ändert — sie schreibt sie also nicht rückwirkend auf bereits gesetzte Passwörter um.

Nur Admins dürfen die Policy konfigurieren.


Konfigurierbare Parameter

Die Policy hat vier Stellschrauben:

Mindestlänge

Frei wählbar zwischen 8 und 64 Zeichen. Default: 12. Die Plattform empfiehlt deutlich mehr — siehe Empfehlung weiter unten.

Komplexität

Vier Kategorien, jede einzeln aktivierbar:

  • Großbuchstaben erforderlich (A-Z)
  • Kleinbuchstaben erforderlich (a-z)
  • Ziffern erforderlich (0-9)
  • Sonderzeichen erforderlich (alles außerhalb Buchstaben/Ziffern)

Pro aktivierter Kategorie muss das Passwort mindestens ein Zeichen dieser Klasse enthalten. Komplexitäts-Regeln werden client-seitig validiert (UI verhindert Speichern) und server-seitig gegen-validiert (Schutz vor manipulierten Clients).

Maximales Alter

Optional. Wenn aktiviert: Master-Password verfällt nach X Tagen, der:die User muss beim nächsten Login ein neues setzen. Wählbar 30 / 60 / 90 / 180 / 365 Tage oder kein Ablauf. Default: kein Ablauf.

Wiederverwendungs-Sperre

Wenn maximales Alter aktiv ist, kann zusätzlich konfiguriert werden, dass die letzten N Passwörter nicht erneut gesetzt werden dürfen. Wählbar 0-10. Implementiert via gesalzene Hashes der historischen Passwörter — die Klartext-Werte werden niemals gespeichert.


Wer die Policy ändern darf

Ausschließlich Tenant-Admins. Pfad in der Plattform: Einstellungen → Tools → Zugangsdaten-Tresor → Sicherheit → Master-Password-Policy.

Jede Policy-Änderung erzeugt einen Audit-Log-Eintrag (Aktion policy.change) mit altem und neuem Stand.

Eine Verschärfung der Policy (z.B. Mindestlänge von 12 auf 16 anheben) wirkt ab dem Zeitpunkt für alle neu gesetzten Passwörter. Bereits aktive Passwörter, die der neuen Regel nicht entsprechen, bleiben funktional, bis sie zum nächsten Mal geändert werden. Der Admin kann optional eine Re-Set-Aufforderung für alle User auslösen, die beim nächsten Login das Master-Password neu setzen müssen.

Eine Lockerung der Policy (z.B. Sonderzeichen-Pflicht abschalten) ist möglich, aber im Audit-Log nachvollziehbar dokumentiert. Wir empfehlen, dies nur mit dokumentierter Begründung zu tun.


Auswirkung auf bestehende Einträge

Die Policy regelt Master-Passwörter, nicht die Inhalte des Tresors. Bestehende Einträge im Tresor sind von einer Policy-Änderung unberührt. Wer einen schwachen ImmoScout24-Login im Tresor hat, hat ihn nach der Policy-Verschärfung weiterhin — die Plattform kann nicht prüfen, wie stark die im Tresor abgelegten Drittsystem-Passwörter sind.

Was sich ändert: Wenn der:die User das eigene Master-Password ändert, gilt die neue Policy. Wenn ein neues Team-Mitglied das Master-Password setzt, gilt die neue Policy.


Empfohlene Einstellung für Maklerbüros

Wir empfehlen folgendes Profil für Makler-Tenants:

ParameterEmpfohlener WertBegründung
Mindestlänge16 ZeichenAktueller BSI- und NIST-Standard für Master-Passwörter. Lange Passphrasen schlagen Komplexität.
Großbuchstaben erforderlichAusErzwungene Komplexität führt zu vorhersehbaren Mustern (Passwort1!). Länge ist wichtiger.
Kleinbuchstaben erforderlichAusWie oben.
Ziffern erforderlichAusWie oben.
Sonderzeichen erforderlichAusWie oben.
Maximales AlterKein AblaufErzwungene Rotation senkt nachweisbar die Passwort-Qualität. Bei Verdacht auf Kompromittierung: ad-hoc-Reset, nicht zeitgesteuert.
Wiederverwendungs-SperreNicht relevant (kein Ablauf)

Hintergrund: Sowohl das BSI in der Technischen Richtlinie BSI-CS 116 als auch das NIST SP 800-63B sind in den letzten Jahren von "kompliziert, oft wechseln" auf "lang, selten wechseln" umgeschwenkt. Der Grund: erzwungene Komplexität verursacht in der Praxis Workarounds (Klebezettel, vorhersehbare Muster), die die Sicherheit faktisch senken. Eine 16-Zeichen-Passphrase wie kornblume-blau-kaffee-7 ist deutlich sicherer als P4ssw0rt!.

Wer aus regulatorischen Gründen (z.B. Konzern-Compliance, Mutterhaus mit ISO-27001) Komplexität erzwingen muss, kann sie aktivieren — die Plattform unterstützt beide Modelle.


Konfigurations-Tipp

Wir empfehlen, die Policy vor dem Einladen des Teams zu setzen. Wenn das Team bereits Passwörter gesetzt hat und die Policy nachträglich verschärft wird, ergibt sich ein Mismatch zwischen alten und neuen User-Passwörtern. Im Tagesgeschäft führt das zu wiederholten Verwirrungen wenn jemand das Passwort ändert und plötzlich strengere Regeln gelten als bei der Erst-Vergabe.

Erstmal Policy, dann Team — gleicher Reihenfolgen-Tipp wie im Schnellstart.