Hoe sterker een wachtwoord is, hoe moeilijker het wachtwoord te raden of te kraken valt. Je moet er toch niet aan denken dat iemand kan inloggen als sitebeheerder en alle gegevens van iedere student kan inzien en ook nog cijfers kan aanpassen? Of dat iemand alle namen en e-mailadressen download en vervolgens deze mensen gaat spammen?

Forceer een sterk wachtwoord bij elke Moodle gebruiker door het wachtwoordbeleid in te schakelen. Dit kan je doen in het sitebeheer:

Sitebeheer | Veiligheid | Site reglement

https://<moodle-site>/admin/settings.php?section=sitepolicies

Alleen als je gebruikers laat authenticeren via een ander systeem zoals Active Directory van Microsoft of OpenID van Office365, dan kan je deze instellingen in Moodle negeren. Want dan regel je het wachtwoordbeleid in de externe authenticatieserver.

Het bericht Moodle Security (4): Zet wachtwoordbeleid aan!! verscheen eerst op Avetica.

We kunnen deze aanvraag niet verwerken. Vraag het wachtwoord opnieuw aan.

Het opnieuw aanvragen van een wachtwoord is iets wat altijd zou moeten kunnen, tenzij de Moodle site gekoppeld met externe authenticatiemethodes zoals SAML of OpenID. In deze situatie was dit niet het geval. Dus wat was dan wel de oorzaak van deze melding?

Het was even zoeken in de verschillende uithoeken van Moodle, maar al snel hadden we het gevonden. De gebruikers die deze melding op hun scherm kregen, stonden allemaal twee keer in de gebruikerslijst met hetzelfde e-mailadres. Normaal geeft Moodle een melding bij het aanmaken van een nieuw account dat het e-mailadres al bestaat. Maar deze melding komt er niet als een externe bron gebruikers inschiet.

Bij deze Moodle klant werden gebruikers ingeschoten via een cursusadministratiesysteem én werden gebruikers via een andere Moodle site via LTI geauthenticeerd in de Moodle site. Helaas wisten de twee afdelingen die dit zo regelde dit niet van elkaar. Samen hebben we gekozen voor de oplossing dat de gebruikers via LTI verwijderd werden. Toen werkte het opnieuw aanvragen van wachtwoorden weer gewoon. En andere optie was geweest om de gebruikers samen te voegen, bv met de plugin Merge users.

Moodle kon de aanvraag voor een nieuw wachtwoord niet verwerken, omdat niet duidelijk is welke gebruiker zijn/haar wachtwoord opnieuw wil opvragen. De noodzaak om het gehele proces van inschrijven, authenticeren en aanmelden goed uit te denken. Zeker als er externe systemen gebruikt worden en dat zien we steeds meer.

Het bericht Nieuw wachtwoord in Moodle werkt niet? verscheen eerst op Avetica.

Veel gebruikers slaan hun gebruikersnaam en wachtwoord op in de browser. Da’s natuurlijk makkelijk, want een volgende keer hoef je niet deze gegevens meer in te vullen. Daarbij leg je heel veel vertrouwen in de producent van de browser en je hoopt dat andere programma’s en hackers niet bij deze gegevens kunnen komen.

Moodle heeft een instelling waarmee je als sitebeheerder het automatisch aanvullen van wachtwoorden kan uitschakelen.

Sitebeheer | Veiligheid | HTTP Security

https://<moodle-site>/admin/settings.php?section=httpsecurity

Als je deze instelling inschakelt, kunnen gebruikers niet meer hun wachtwoord van Moodle opslaan in de browsers.

Het bericht Moodle Security (2): Wachtwoord aanvullen uitschakelen bij inloggen verscheen eerst op Avetica.