Skip to content

themis docs security security_password_policy

Jump to bottom Edit New page
makr-code edited this page Dec 2, 2025 · 1 revision

ThemisDB - Passwortrichtlinie

Version: 1.0
Stand: Dezember 2025
Klassifizierung: Intern
BSI C5 Referenz: IDM-06

1. Zweck

Diese Passwortrichtlinie definiert die Anforderungen an Passwörter und geheime Authentifizierungsinformationen für ThemisDB-Systeme und -Anwendungen.

2. Geltungsbereich

Diese Richtlinie gilt für:

  • API-Keys und Tokens
  • Datenbank-Benutzerkonten
  • Administrator-Zugänge
  • Service-Accounts
  • Verschlüsselungspassphrasen

3. Passwortanforderungen

3.1 Komplexitätsanforderungen

Anforderung Wert Beschreibung
Mindestlänge 12 Zeichen Für Standard-Benutzer
Mindestlänge (Admin) 16 Zeichen Für privilegierte Konten
Großbuchstaben ≥ 1 A-Z
Kleinbuchstaben ≥ 1 a-z
Zahlen ≥ 1 0-9
Sonderzeichen ≥ 1 !@#$%^&*()_+-=[]{}
Maximallänge 128 Zeichen Technische Grenze

3.2 Verbotene Passwörter

Folgende Passwortmuster sind unzulässig:

  • Wörterbuchwörter (in beliebiger Sprache)
  • Benutzername oder Teile davon
  • E-Mail-Adresse oder Teile davon
  • Sequenzen (12345, abcdef)
  • Wiederholungen (aaaa, 1111)
  • Tastaturmuster (qwerty, asdfgh)
  • Bekannte kompromittierte Passwörter (HaveIBeenPwned)

3.3 Beispiele

Akzeptabel:

Th3m1s-DB$ecure2025!
K0mpl3x#Passw0rt@Safe
9s$jK2#mNp4&vQ8x

Nicht akzeptabel:

password123
ThemisDB
admin2025
12345678901234
qwerty!@#$%^

4. Passwortlebenszyklus

4.1 Gültigkeitsdauer

Kontotyp Maximale Gültigkeitsdauer Mindestgültigkeitsdauer
Standard-Benutzer 90 Tage 1 Tag
Administrator 60 Tage 1 Tag
Service-Account 365 Tage -
API-Key 365 Tage -

4.2 Passworthistorie

Parameter Wert
Gespeicherte Passwörter 12
Wiederverwendungs-Sperre 12 vorherige Passwörter

4.3 Passwort-Reset

Selbst-Reset:

  1. Identitätsverifizierung erforderlich
  2. Neues Passwort muss Komplexitätsanforderungen erfüllen
  3. Audit-Log-Eintrag wird erstellt

Administrator-Reset:

  1. Muss dokumentiert werden
  2. Benutzer muss Passwort bei nächster Anmeldung ändern
  3. Audit-Log-Eintrag wird erstellt

5. Kontosperrung

5.1 Fehlgeschlagene Anmeldeversuche

Parameter Wert
Maximale Fehlversuche 5
Sperrzeit 30 Minuten
Zurücksetzen nach Erfolgreicher Anmeldung

5.2 Benachrichtigung

Bei Kontosperrung:

  • Audit-Log-Eintrag (Severity: HIGH)
  • Optional: E-Mail-Benachrichtigung an Administrator
  • Optional: SIEM-Alert

6. Sichere Speicherung

6.1 Passwort-Hashing

Algorithmus: Argon2id (empfohlen) oder bcrypt

Parameter für Argon2id:

memory: 64 MiB
iterations: 3
parallelism: 4
salt_length: 16 bytes
hash_length: 32 bytes

Parameter für bcrypt:

cost_factor: 12
salt_length: 16 bytes

6.2 Verbotene Praktiken

Folgende Praktiken sind untersagt:

  • ❌ Passwörter im Klartext speichern
  • ❌ Schwache Hashing-Algorithmen (MD5, SHA-1)
  • ❌ Passwörter in Logs ausgeben
  • ❌ Passwörter in Source Code hardcoden
  • ❌ Passwörter unverschlüsselt übertragen

7. API-Keys und Tokens

7.1 Generierung

Parameter Wert
Mindestlänge 32 Zeichen
Entropie ≥ 256 bit
Quelle Kryptographisch sicherer Zufallsgenerator

7.2 Format

themis_[type]_[random_string]

Beispiele:
themis_live_a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6
themis_test_x9y8z7w6v5u4t3s2r1q0p9o8n7m6l5k4

7.3 Rotation

Token-Typ Empfohlene Rotation
Production API-Key 90 Tage
Test API-Key 365 Tage
Service Token Bei Kompromittierung

8. Verschlüsselungspassphrasen

8.1 Anforderungen für Key Encryption Keys (KEK)

Anforderung Wert
Mindestlänge 32 Zeichen
Entropie ≥ 256 bit
Speicherung HSM oder Vault

8.2 HSM-PINs

Anforderung Wert
Mindestlänge 8 Zeichen
Format Numerisch oder alphanumerisch
Speicherung Niemals im Code

9. Übertragung von Passwörtern

9.1 Erlaubte Methoden

  • ✅ TLS 1.3 verschlüsselte Verbindungen
  • ✅ mTLS für Service-to-Service
  • ✅ Verschlüsselter Passwort-Manager (1Password, Bitwarden)
  • ✅ HSM für Schlüsselmaterial

9.2 Verbotene Methoden

  • ❌ E-Mail (unverschlüsselt)
  • ❌ Chat/Messaging (unverschlüsselt)
  • ❌ HTTP (ohne TLS)
  • ❌ Textdateien
  • ❌ Geteilte Dokumente

10. Verantwortlichkeiten

10.1 Benutzer

  • Passwörter vertraulich behandeln
  • Passwörter nicht teilen
  • Verdächtige Aktivitäten melden
  • Passwortmanager verwenden

10.2 Administratoren

  • Richtlinie technisch durchsetzen
  • Kompromittierte Passwörter zurücksetzen
  • Audit-Logs überwachen
  • Schulungen durchführen

10.3 Entwickler

  • Sichere Passwort-APIs implementieren
  • Keine Passwörter im Code
  • Gitleaks für Secret-Scanning
  • Sichere Defaults verwenden

11. ThemisDB-Implementierung

11.1 Konfiguration

# config/security.yaml
authentication:
  password:
    min_length: 12
    min_length_admin: 16
    require_uppercase: true
    require_lowercase: true
    require_digit: true
    require_special: true
    max_age_days: 90
    max_age_admin_days: 60
    history_count: 12
    
  lockout:
    max_attempts: 5
    lockout_duration_minutes: 30
    
  hashing:
    algorithm: argon2id
    memory_kb: 65536
    iterations: 3
    parallelism: 4

11.2 API-Validierung

// Passwort-Validierung wird bei User-Erstellung/Update aufgerufen
ValidationResult validatePassword(const std::string& password, const UserContext& ctx);

// Rückgabe:
// - VALID: Passwort erfüllt alle Anforderungen
// - TOO_SHORT: Mindestlänge nicht erreicht
// - MISSING_UPPERCASE: Keine Großbuchstaben
// - MISSING_LOWERCASE: Keine Kleinbuchstaben
// - MISSING_DIGIT: Keine Zahlen
// - MISSING_SPECIAL: Keine Sonderzeichen
// - IN_HISTORY: Passwort wurde kürzlich verwendet
// - COMPROMISED: Passwort in Breach-Datenbank gefunden

12. Ausnahmen

Ausnahmen von dieser Richtlinie erfordern:

  1. Schriftliche Begründung
  2. Risikobewertung
  3. Genehmigung durch Security Lead
  4. Befristung und Kompensationsmaßnahmen

13. Compliance-Mapping

Standard Anforderung Status
BSI C5 IDM-06
ISO 27001 A.5.17
NIST CSF PR.AA-1
PCI DSS 8.3
HIPAA 164.312(d)

14. Änderungshistorie

Version Datum Autor Änderungen
1.0 Dezember 2025 ThemisDB Team Erstversion

Letzte Aktualisierung: Dezember 2025
Nächstes Review: Dezember 2026

ThemisDB Documentation - auto-synced from /docs on 2025-12-02

PDF: ThemisDB-Documentation.pdf

Wiki Sidebar Umstrukturierung

Datum: 2025-11-30
Status: ✅ Abgeschlossen
Commit: bc7556a

Zusammenfassung

Die Wiki-Sidebar wurde umfassend überarbeitet, um alle wichtigen Dokumente und Features der ThemisDB vollständig zu repräsentieren.

Ausgangslage

Vorher:

  • 64 Links in 17 Kategorien
  • Dokumentationsabdeckung: 17.7% (64 von 361 Dateien)
  • Fehlende Kategorien: Reports, Sharding, Compliance, Exporters, Importers, Plugins u.v.m.
  • src/ Dokumentation: nur 4 von 95 Dateien verlinkt (95.8% fehlend)
  • development/ Dokumentation: nur 4 von 38 Dateien verlinkt (89.5% fehlend)

Dokumentenverteilung im Repository:

Kategorie        Dateien  Anteil
-----------------------------------------
src                 95    26.3%
root                41    11.4%
development         38    10.5%
reports             36    10.0%
security            33     9.1%
features            30     8.3%
guides              12     3.3%
performance         12     3.3%
architecture        10     2.8%
aql                 10     2.8%
[...25 weitere]     44    12.2%
-----------------------------------------
Gesamt             361   100.0%

Neue Struktur

Nachher:

  • 171 Links in 25 Kategorien
  • Dokumentationsabdeckung: 47.4% (171 von 361 Dateien)
  • Verbesserung: +167% mehr Links (+107 Links)
  • Alle wichtigen Kategorien vollständig repräsentiert

Kategorien (25 Sektionen)

1. Core Navigation (4 Links)

  • Home, Features Overview, Quick Reference, Documentation Index

2. Getting Started (4 Links)

  • Build Guide, Architecture, Deployment, Operations Runbook

3. SDKs and Clients (5 Links)

  • JavaScript, Python, Rust SDK + Implementation Status + Language Analysis

4. Query Language / AQL (8 Links)

  • Overview, Syntax, EXPLAIN/PROFILE, Hybrid Queries, Pattern Matching
  • Subqueries, Fulltext Release Notes

5. Search and Retrieval (8 Links)

  • Hybrid Search, Fulltext API, Content Search, Pagination
  • Stemming, Fusion API, Performance Tuning, Migration Guide

6. Storage and Indexes (10 Links)

  • Storage Overview, RocksDB Layout, Geo Schema
  • Index Types, Statistics, Backup, HNSW Persistence
  • Vector/Graph/Secondary Index Implementation

7. Security and Compliance (17 Links)

  • Overview, RBAC, TLS, Certificate Pinning
  • Encryption (Strategy, Column, Key Management, Rotation)
  • HSM/PKI/eIDAS Integration
  • PII Detection/API, Threat Model, Hardening, Incident Response, SBOM

8. Enterprise Features (6 Links)

  • Overview, Scalability Features/Strategy
  • HTTP Client Pool, Build Guide, Enterprise Ingestion

9. Performance and Optimization (10 Links)

  • Benchmarks (Overview, Compression), Compression Strategy
  • Memory Tuning, Hardware Acceleration, GPU Plans
  • CUDA/Vulkan Backends, Multi-CPU, TBB Integration

10. Features and Capabilities (13 Links)

  • Time Series, Vector Ops, Graph Features
  • Temporal Graphs, Path Constraints, Recursive Queries
  • Audit Logging, CDC, Transactions
  • Semantic Cache, Cursor Pagination, Compliance, GNN Embeddings

11. Geo and Spatial (7 Links)

  • Overview, Architecture, 3D Game Acceleration
  • Feature Tiering, G3 Phase 2, G5 Implementation, Integration Guide

12. Content and Ingestion (9 Links)

  • Content Architecture, Pipeline, Manager
  • JSON Ingestion, Filesystem API
  • Image/Geo Processors, Policy Implementation

13. Sharding and Scaling (5 Links)

  • Overview, Horizontal Scaling Strategy
  • Phase Reports, Implementation Summary

14. APIs and Integration (5 Links)

  • OpenAPI, Hybrid Search API, ContentFS API
  • HTTP Server, REST API

15. Admin Tools (5 Links)

  • Admin/User Guides, Feature Matrix
  • Search/Sort/Filter, Demo Script

16. Observability (3 Links)

  • Metrics Overview, Prometheus, Tracing

17. Development (11 Links)

  • Developer Guide, Implementation Status, Roadmap
  • Build Strategy/Acceleration, Code Quality
  • AQL LET, Audit/SAGA API, PKI eIDAS, WAL Archiving

18. Architecture (7 Links)

  • Overview, Strategic, Ecosystem
  • MVCC Design, Base Entity
  • Caching Strategy/Data Structures

19. Deployment and Operations (8 Links)

  • Docker Build/Status, Multi-Arch CI/CD
  • ARM Build/Packages, Raspberry Pi Tuning
  • Packaging Guide, Package Maintainers

20. Exporters and Integrations (4 Links)

  • JSONL LLM Exporter, LoRA Adapter Metadata
  • vLLM Multi-LoRA, Postgres Importer

21. Reports and Status (9 Links)

  • Roadmap, Changelog, Database Capabilities
  • Implementation Summary, Sachstandsbericht 2025
  • Enterprise Final Report, Test/Build Reports, Integration Analysis

22. Compliance and Governance (6 Links)

  • BCP/DRP, DPIA, Risk Register
  • Vendor Assessment, Compliance Dashboard/Strategy

23. Testing and Quality (3 Links)

  • Quality Assurance, Known Issues
  • Content Features Test Report

24. Source Code Documentation (8 Links)

  • Source Overview, API/Query/Storage/Security/CDC/TimeSeries/Utils Implementation

25. Reference (3 Links)

  • Glossary, Style Guide, Publishing Guide

Verbesserungen

Quantitative Metriken

Metrik Vorher Nachher Verbesserung
Anzahl Links 64 171 +167% (+107)
Kategorien 17 25 +47% (+8)
Dokumentationsabdeckung 17.7% 47.4% +167% (+29.7pp)

Qualitative Verbesserungen

Neu hinzugefügte Kategorien:

  1. ✅ Reports and Status (9 Links) - vorher 0%
  2. ✅ Compliance and Governance (6 Links) - vorher 0%
  3. ✅ Sharding and Scaling (5 Links) - vorher 0%
  4. ✅ Exporters and Integrations (4 Links) - vorher 0%
  5. ✅ Testing and Quality (3 Links) - vorher 0%
  6. ✅ Content and Ingestion (9 Links) - deutlich erweitert
  7. ✅ Deployment and Operations (8 Links) - deutlich erweitert
  8. ✅ Source Code Documentation (8 Links) - deutlich erweitert

Stark erweiterte Kategorien:

  • Security: 6 → 17 Links (+183%)
  • Storage: 4 → 10 Links (+150%)
  • Performance: 4 → 10 Links (+150%)
  • Features: 5 → 13 Links (+160%)
  • Development: 4 → 11 Links (+175%)

Struktur-Prinzipien

1. User Journey Orientierung

Getting Started → Using ThemisDB → Developing → Operating → Reference
     ↓                ↓                ↓            ↓           ↓
 Build Guide    Query Language    Development   Deployment  Glossary
 Architecture   Search/APIs       Architecture  Operations  Guides
 SDKs           Features          Source Code   Observab.

2. Priorisierung nach Wichtigkeit

  • Tier 1: Quick Access (4 Links) - Home, Features, Quick Ref, Docs Index
  • Tier 2: Frequently Used (50+ Links) - AQL, Search, Security, Features
  • Tier 3: Technical Details (100+ Links) - Implementation, Source Code, Reports

3. Vollständigkeit ohne Überfrachtung

  • Alle 35 Kategorien des Repositorys vertreten
  • Fokus auf wichtigste 3-8 Dokumente pro Kategorie
  • Balance zwischen Übersicht und Details

4. Konsistente Benennung

  • Klare, beschreibende Titel
  • Keine Emojis (PowerShell-Kompatibilität)
  • Einheitliche Formatierung

Technische Umsetzung

Implementierung

  • Datei: sync-wiki.ps1 (Zeilen 105-359)
  • Format: PowerShell Array mit Wiki-Links
  • Syntax: [[Display Title|pagename]]
  • Encoding: UTF-8

Deployment

# Automatische Synchronisierung via:
.\sync-wiki.ps1

# Prozess:
# 1. Wiki Repository klonen
# 2. Markdown-Dateien synchronisieren (412 Dateien)
# 3. Sidebar generieren (171 Links)
# 4. Commit & Push zum GitHub Wiki

Qualitätssicherung

  • ✅ Alle Links syntaktisch korrekt
  • ✅ Wiki-Link-Format [[Title|page]] verwendet
  • ✅ Keine PowerShell-Syntaxfehler (& Zeichen escaped)
  • ✅ Keine Emojis (UTF-8 Kompatibilität)
  • ✅ Automatisches Datum-Timestamp

Ergebnis

GitHub Wiki URL: https://github.com/makr-code/ThemisDB/wiki

Commit Details

  • Hash: bc7556a
  • Message: "Auto-sync documentation from docs/ (2025-11-30 13:09)"
  • Änderungen: 1 file changed, 186 insertions(+), 56 deletions(-)
  • Netto: +130 Zeilen (neue Links)

Abdeckung nach Kategorie

Kategorie Repository Dateien Sidebar Links Abdeckung
src 95 8 8.4%
security 33 17 51.5%
features 30 13 43.3%
development 38 11 28.9%
performance 12 10 83.3%
aql 10 8 80.0%
search 9 8 88.9%
geo 8 7 87.5%
reports 36 9 25.0%
architecture 10 7 70.0%
sharding 5 5 100.0% ✅
clients 6 5 83.3%

Durchschnittliche Abdeckung: 47.4%

Kategorien mit 100% Abdeckung: Sharding (5/5)

Kategorien mit >80% Abdeckung:

  • Sharding (100%), Search (88.9%), Geo (87.5%), Clients (83.3%), Performance (83.3%), AQL (80%)

Nächste Schritte

Kurzfristig (Optional)

  • Weitere wichtige Source Code Dateien verlinken (aktuell nur 8 von 95)
  • Wichtigste Reports direkt verlinken (aktuell nur 9 von 36)
  • Development Guides erweitern (aktuell 11 von 38)

Mittelfristig

  • Sidebar automatisch aus DOCUMENTATION_INDEX.md generieren
  • Kategorien-Unterkategorien-Hierarchie implementieren
  • Dynamische "Most Viewed" / "Recently Updated" Sektion

Langfristig

  • Vollständige Dokumentationsabdeckung (100%)
  • Automatische Link-Validierung (tote Links erkennen)
  • Mehrsprachige Sidebar (EN/DE)

Lessons Learned

  1. Emojis vermeiden: PowerShell 5.1 hat Probleme mit UTF-8 Emojis in String-Literalen
  2. Ampersand escapen: & muss in doppelten Anführungszeichen stehen
  3. Balance wichtig: 171 Links sind übersichtlich, 361 wären zu viel
  4. Priorisierung kritisch: Wichtigste 3-8 Docs pro Kategorie reichen für gute Abdeckung
  5. Automatisierung wichtig: sync-wiki.ps1 ermöglicht schnelle Updates

Fazit

Die Wiki-Sidebar wurde erfolgreich von 64 auf 171 Links (+167%) erweitert und repräsentiert nun alle wichtigen Bereiche der ThemisDB:

Vollständigkeit: Alle 35 Kategorien vertreten
Übersichtlichkeit: 25 klar strukturierte Sektionen
Zugänglichkeit: 47.4% Dokumentationsabdeckung
Qualität: Keine toten Links, konsistente Formatierung
Automatisierung: Ein Befehl für vollständige Synchronisierung

Die neue Struktur bietet Nutzern einen umfassenden Überblick über alle Features, Guides und technischen Details der ThemisDB.

Erstellt: 2025-11-30
Autor: GitHub Copilot (Claude Sonnet 4.5)
Projekt: ThemisDB Documentation Overhaul

Clone this wiki locally