Passwörter - Auf was sollte man achten
Werden in einem IT-System Paßwörter zur Authentisierung gebraucht,
so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems
entscheidend davon abhängig, daß das Paßwort korrekt
gebraucht wird. Dafür ist es empfehlenswert, eine Regelung zum Paßwortgebrauch
einzuführen und den IT-Benutzer diesbezüglich zu unterweisen.
Folgende Regeln zum Paßwortgebrauch sollten beachtet werden:
- Das Paßwort darf nicht leicht zu erraten sein wie Namen, Kfz-Kennzeichen,
Geburtsdatum. - Innerhalb des Paßwortes sollte mindestens ein Zeichen verwendet
werden, das kein Buchstabe ist (Sonderzeichen oder Zahl). - Das Paßwort sollte mindestens 6 Zeichen lang sein. Es muß
getestet werden, wieviele Stellen des Paßwortes vom Rechner überprüft
werden. - Voreingestellte Paßwörter (z. B. des Herstellers bei Auslieferung
von Systemen) müssen durch individuelle Paßwörter ersetzt
werden. - Paßwörter dürfen nicht auf programmierbaren Funktionstasten
gespeichert werden. - Das Paßwort muß geheimgehalten werden und sollte nur dem
Benutzer persönlich bekannt sein. - Das Paßwort sollte nur für die Hinterlegung schriftlich
fixiert werden, wobei es dann in einem verschlossenen Umschlag sicher
aufbewahrt wird.
Wird es darüber hinaus aufgeschrieben, ist das Paßwort zumindest
so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren. - Das Paßwort muß regelmäßig gewechselt werden,
z. B. alle 90 Tage. - Ein Paßwortwechsel ist durchzuführen, wenn das Paßwort
unautorisierten Personen bekannt geworden ist. - Alte Paßwörter sollten nach einem Paßwortwechsel
nicht mehr gebraucht werden. - Die Eingabe des Paßwortes sollte unbeobachtet stattfinden.
Falls IT-technisch möglich, sollten folgende Randbedingungen eingehalten
werden:
- Die Wahl von Trivialpaßwörtern ("BBBBBB", "123456") sollte
verhindert werden. - Jeder Benutzer muß sein eigenes Paßwort jederzeit ändern
können. - Für die Erstanmeldung neuer Benutzer sollten Einmalpaßwörter
vergeben werden, also Paßwörter, die nach einmaligem Gebrauch
gewechselt werden müssen. In Netzen, in denen Paßwörter
unverschlüsselt übertragen werden, empfiehlt sich die dauerhafte
Verwendung von Einmalpaßwörtern. - Nach dreifacher fehlerhafter Paßworteingabe sollte eine Sperrung
erfolgen, die nur vom Systemadministrator aufgehoben werden kann. - Bei der Authentisierung in vernetzten Systemen sollten Paßwörter
nicht unverschlüsselt übertragen werden. - Bei der Eingabe sollte das Paßwort nicht auf dem Bildschirm
angezeigt werden. - Die Paßwörter sollten im System zugriffssicher gespeichert
werden, z. B. mittels Einwegverschlüsselung. - Der Paßwortwechsel sollte vom System regelmäßig initiiert
werden. - Die Wiederholung alter Paßwörter beim Paßwortwechsel
sollte vom IT-System verhindert werden (Paßwort-Historie).
Ergänzende Kontrollfragen:
- Sind die Benutzer über den korrekten Umgang mit Paßwörtern
unterrichtet worden? - Wird die Paßwort-Güte kontrolliert?
- Wird der Paßwort-Wechsel erzwungen?
- Ist jeder Benutzer im Netz mit einem Paßwort ausgestattet?
- Login to post comments