Passwörter - Auf was sollte man achten


By admin - Posted on 18 April 2009

Werden in einem IT-System Paßwörter zur Authentisierung gebraucht,
so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems
entscheidend davon abhängig, daß das Paßwort korrekt
gebraucht wird. Dafür ist es empfehlenswert, eine Regelung zum Paßwortgebrauch
einzuführen und den IT-Benutzer diesbezüglich zu unterweisen.

Folgende Regeln zum Paßwortgebrauch sollten beachtet werden:

  • Das Paßwort darf nicht leicht zu erraten sein wie Namen, Kfz-Kennzeichen,
    Geburtsdatum.
  • Innerhalb des Paßwortes sollte mindestens ein Zeichen verwendet
    werden, das kein Buchstabe ist (Sonderzeichen oder Zahl).
  • Das Paßwort sollte mindestens 6 Zeichen lang sein. Es muß
    getestet werden, wieviele Stellen des Paßwortes vom Rechner überprüft
    werden.
  • Voreingestellte Paßwörter (z. B. des Herstellers bei Auslieferung
    von Systemen) müssen durch individuelle Paßwörter ersetzt
    werden.
  • Paßwörter dürfen nicht auf programmierbaren Funktionstasten
    gespeichert werden.
  • Das Paßwort muß geheimgehalten werden und sollte nur dem
    Benutzer persönlich bekannt sein.
  • Das Paßwort sollte nur für die Hinterlegung schriftlich
    fixiert werden, wobei es dann in einem verschlossenen Umschlag sicher
    aufbewahrt wird.
    Wird es darüber hinaus aufgeschrieben, ist das Paßwort zumindest
    so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren.
  • Das Paßwort muß regelmäßig gewechselt werden,
    z. B. alle 90 Tage.
  • Ein Paßwortwechsel ist durchzuführen, wenn das Paßwort
    unautorisierten Personen bekannt geworden ist.
  • Alte Paßwörter sollten nach einem Paßwortwechsel
    nicht mehr gebraucht werden.
  • Die Eingabe des Paßwortes sollte unbeobachtet stattfinden.

Falls IT-technisch möglich, sollten folgende Randbedingungen eingehalten
werden:

  • Die Wahl von Trivialpaßwörtern ("BBBBBB", "123456") sollte
    verhindert werden.
  • Jeder Benutzer muß sein eigenes Paßwort jederzeit ändern
    können.
  • Für die Erstanmeldung neuer Benutzer sollten Einmalpaßwörter
    vergeben werden, also Paßwörter, die nach einmaligem Gebrauch
    gewechselt werden müssen. In Netzen, in denen Paßwörter
    unverschlüsselt übertragen werden, empfiehlt sich die dauerhafte
    Verwendung von Einmalpaßwörtern.
  • Nach dreifacher fehlerhafter Paßworteingabe sollte eine Sperrung
    erfolgen, die nur vom Systemadministrator aufgehoben werden kann.
  • Bei der Authentisierung in vernetzten Systemen sollten Paßwörter
    nicht unverschlüsselt übertragen werden.
  • Bei der Eingabe sollte das Paßwort nicht auf dem Bildschirm
    angezeigt werden.
  • Die Paßwörter sollten im System zugriffssicher gespeichert
    werden, z. B. mittels Einwegverschlüsselung.
  • Der Paßwortwechsel sollte vom System regelmäßig initiiert
    werden.
  • Die Wiederholung alter Paßwörter beim Paßwortwechsel
    sollte vom IT-System verhindert werden (Paßwort-Historie).

Ergänzende Kontrollfragen:

  • Sind die Benutzer über den korrekten Umgang mit Paßwörtern
    unterrichtet worden?
  • Wird die Paßwort-Güte kontrolliert?
  • Wird der Paßwort-Wechsel erzwungen?
  • Ist jeder Benutzer im Netz mit einem Paßwort ausgestattet?