Passwortrichtlinien 

Lange hat sich in den verschiedenen IT-Sicherheitsstandards (u.a. auch in den Empfehlungen des BSI) die Empfehlung gehalten, dass ein Passwort dann als sicher gilt, wenn es möglichst komplex ist und in regelmäßigen Abständen geändert wird. Grundlage hierfür war eine von Bill Burr als Mitarbeiter des National Institute of Standards and Technology (NIST) im Jahr 2003 verfasste Empfehlung: „NIST Special Publication 800-63. Appendix A“. Dies hat in vielen Unternehmen zu internen Passwortrichtlinien geführt, die vor allem dem Endanwender oftmals ziemlich auf die Nerven gegangen sind. Zur Sicherheit der Passwörter hat es nicht zwingend beigetragen.

Wie lauten die neuen Empfehlungen? 

In Literatur und Praxis hat sich inzwischen glücklicherweise oftmals ein aktuelleres Denken durchgesetzt. Demnach ist klar, dass es ohne validen Grund für IT-Systeme und Anwendungen keinen Passwortwechsel braucht. Reine zeitgesteuerte Passwortwechsel sorgen eher für Unsicherheiten, da Passwörter aufgrund des regelmäßigen Wechsels beispielsweise notiert werden. Wichtiger sind weitere Schritte wie eine 2-Faktor Authentifizierung. Aktualisiert kann man für Passwortrichtlinien Folgendes sagen:

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend.
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen.
  • Keine regelmäßigen Änderungen: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit.
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wann sollte ein Passwort geändert werden? 

Es kann natürlich weiterhin zwingende Gründe geben, die einen Passwortwechsel notwendig machen. Diese können sein:

Loginoberfläche zur Symbolisation von Passwortrichtlinien

Quelle: pixabay.com

  • Sie haben Ihr Passwort einer anderen Person bewusst oder unbewusst zugänglich gemacht.
  • Ihre Zugangsdaten sind kompromittiert (Dies kann auf Seiten wie „Have I been pwned“ oder dem Identity Leak Checker getestet werden).

Kontaktieren Sie uns!

Sollten Sie zu diesem oder anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog