Passwortrichtlinien – Good Practice

Nach dem Erstellen einer Sicherheitsrichtlinie und der Ernennung eines IT-Sicherheitsbeauftragten, empfiehlt sich die zur Hilfenahme eines ISM Tools (Information Security Management), wie z.B. Verinice, um den Anforderungen an standarisiertes und auditierbares Vorgehen zu entsprechen.

Es hat sich als gute Praxis erwiesen, den goldenen Mittelweg zwischen Nutzbarkeit und Sicherheit zu beschreiten:
Ein 42 stelliges Passwort ist zwar recht sicher, aber kaum zu merken.
Ein 3 stelliges Passwort ist zwar recht gut zu merken, aber nicht besonders sicher.
Nutzen Sie Keepass, um lange Passwörter zu verwenden.
Verwenden Sie die Authentifizierung durch öffentliche und private Schlüssel für SSH.

Machen Sie Ihre Computeranwender mit den Sicherheitsrichtlinien vertraut, schulen Sie sie!
Erstellen Sie eine Benutzerpasswortrichtlinie mit folgenden Mindestanforderungen:

1. Ein Benutzerpasswort muss mindestens 10 Zeichen enthalten, die sich zusammensetzen aus:

  • Klein- und Grossbuchstaben
  •  Zahlen und Sonderzeichen

2. Ein Benutzerpasswort darf sich nicht zusammensetzen aus:

  • Wörtern, die in einem Wörterbuch stehen
  • Geburtsdaten, Namen oder Kennzeichen
  • zu einfachen Worten (zB FOOOO23)
  • vorher schon verwendeten Passwörtern
  • woanders verwendeten Passwörtern

3. Regeln für den Umgang mit Passwörtern:

  • Notieren Sie niemals Ihre Passwörter
  • Legen Sie Ihre Passwörter nicht auf Funktionstasten (Hotkeys)
  • Ändern Sie Ihr Passwort auch schon bei dem Verdacht auf Kenntnisnahme durch Dritte
  • Nutzen Sie einen kostenlosen Passwortsafe, wie Keepass (KeepassX für Mac und Linux)
  • Nutzen Sie Einmal Passwörter, wenn Sie sich aus dem Internetcafe oder von einem Wlan Hotspot aus anmelden.

Diese Anleitung überschneidet sich hauptsächlich mit den BSI Massnahmenkatalog Referenzdokumenten ISO 2700x nach IT-Grundschutz :
  [M 2.316] Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server
  [M 2.11 ]   Regelung des Passwortgebrauchs
  [M 4.14]   Obligatorischer Passwortschutz unter Unix

3 thoughts on “Passwortrichtlinien – Good Practice”

  1. Auch hier wird der Fehler begangen, sich nicht in den User hineinzuversetzen.
    Im typischen Unternehmensumfeld benötigt der Benutzer etliche Passwörter, hinzu kommen noch weitere aus dem privaten Umfeld.

    Die Prämisse, der Benutzer müsse sich ein einzelnes “abgefahrenes” Passwort merken (und das sei ja schließlich zumutbar) ist falsch. Der Benutzer muss sich ein komplettes System aus Passwörtern merken. Diese müssen so gebildet werden, dass Sie alle unterschiedlich, alle “abgefahren” und alle zusammen noch zu merken sind. Soweit so gut, selbst das bekommt der Benutzer üblicherweise sogar noch hin.

    Dann kommen die Passwortrichtlinien ins Spiel.
    Das System des Benutzers funktioniert nicht mehr, weil ihm unterschiedlichste, sich gegenseitig widersprechende Passwortrichtlinien vorliegen. Der Benutzer wird gezwungen, Außnahmebehandlungen in sein Passwortsystem einzubauen. Diese kann er sich aber nicht mehr merken.

    Also reagiert er mit einer der ihm zur Verfügung stehenden Methoden:
    a) Er schreibt die Passwörter auf
    b) Er simplifiziert sein System soweit möglich: verwendet identische Passwörter wo es nur geht, umgeht Änderungsanforderungen indem er Monat und Jahr einbaut und so weiter und so fort

    Beides führt in Summe zu wesentlich unsichereren Passwörtern, als der Benutzer Sie hätte, wenn nirgendwo eine Passwortrichtlinie vorläge.

  2. Hallo
    Hinzu kommt das Web-Seiten bestimmte Sonderzeichen nicht zulassen

    So wird ein zurecht gelegtes System auch ausgehebelt.

Kommentare sind geschlossen.