Bundesamt für Sicherheit in der Informationstechnik

M 2.11 Regelung des Passwortgebrauchs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Werden in einem IT -System oder einer Anwendung Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass die Passwörter korrekt gebraucht werden. Dafür ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und die Benutzer von IT -Systemen diesbezüglich zu unterweisen.

Vorgaben für die Passwortgestaltung müssen immer einen praktikablen Kompromiss zwischen folgenden Sicherheitszielen darstellen:

  • Die Zeichenzusammensetzung des Passwortes muss so komplex sein, dass es nicht leicht zu erraten ist.
  • Die Anzahl der möglichen Passwörter im vorgegebenen Schema muss so groß sein, dass es nicht in kurzer Zeit durch einfaches Ausprobieren ermittelt werden kann.
  • Das Passwort darf nicht zu kompliziert sein, damit der Besitzer mit vertretbarem Aufwand in der Lage ist, es auswendig zu lernen.

Folgende Regeln zu Passwortgestaltung und -gebrauch sollten deshalb beachtet werden:

  • Das Passwort darf nicht leicht zu erraten sein. Namen, Kfz-Kennzeichen, Geburtsdatum usw. dürfen deshalb nicht als Passwörter gewählt werden.
  • Ein Passwort sollte aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen bestehen. Es sollten mindestens zwei dieser Zeichenarten verwendet werden.
  • Wenn für das Passwort alphanumerische Zeichen gewählt werden können, sollte es mindestens 8 Zeichen lang sein.
  • Wenn für das Passwort nur Ziffern zur Verfügung stehen, sollte es mindestens 6 Zeichen lang sein und das Authentisierungssystem sollte den Zugang nach wenigen Fehlversuchen sperren (für eine bestimmte Zeitspanne oder dauerhaft).
  • Es muss getestet werden, wie viele Stellen des Passwortes vom Rechner wirklich überprüft werden.
  • Voreingestellte Passwörter ( z. B. des Herstellers bei Auslieferung von Systemen) müssen durch individuelle Passwörter ersetzt werden.
  • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.
  • Passwörter müssen geheim gehalten werden und sollten nur dem Benutzer persönlich bekannt sein.
  • Das Passwort sollte allenfalls für die Hinterlegung schriftlich fixiert werden, wobei es in diesem Fall in einem verschlossenen Umschlag sicher aufbewahrt werden muss. Wird es darüber hinaus aufgeschrieben, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren (siehe M 2.22 Hinterlegen des Passwortes ).
  • Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.
  • Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist oder der Verdacht besteht.
  • Alte Passwörter sollten nach einem Passwortwechsel nicht mehr gebraucht werden.
  • Die Eingabe des Passwortes sollte unbeobachtet stattfinden.
  • Da Menschen sich lange und komplizierte Passwörter in der Regel nicht merken können und zudem für jede Anwendung ein anderes Passwort zu verwenden ist, kann in der Praxis die Nutzung eines Passwort-Speicher-Tools geprüft werden. Überlegungen hierzu enthält M 4.306 Umgang mit Passwort-Speicher-Tools .

Falls IT -technisch möglich, sollten folgende Randbedingungen eingehalten werden:

  • Die Wahl von Trivialpasswörtern ( z. B. "BBBBBBBB", "123456", Namen, Geburtsdaten) sollte verhindert werden.
  • Jeder Benutzer muss sein eigenes Passwort jederzeit ändern können.
  • Die Benutzer sollten bei der Änderung von Passwörtern durch eine Entropie-Messung (Anzeige der Passwort-Güte) unterstützt werden.
  • Für die Erstanmeldung neuer Benutzer sollten Initial-Passwörter vergeben werden, die nach einmaligem Gebrauch gewechselt werden müssen.
  • Erfolglose Anmeldeversuche sollten mit einer kurzen Fehlermeldung ohne Angabe von näheren Einzelheiten abgelehnt werden. Insbesondere darf bei erfolglosen Anmeldeversuchen nicht erkennbar sein, ob der eingegebene Benutzername oder das eingegebene Passwort (oder beides) falsch sind. Nach fünf aufeinanderfolgenden fehlerhaften Passworteingaben für dieselbe Kennung sollte das Authentisierungssystem den Zugang hierfür sperren (für eine bestimmte Zeitspanne oder dauerhaft). Die Sperrung einer Kennung darf bei nachfolgenden erfolglosen Anmeldeversuchen ebenfalls nicht erkennbar sein, sondern sollte dem jeweiligen Benutzer auf einem separaten Weg mitgeteilt werden.
  • Bei der Authentisierung in vernetzten Systemen sollten Passwörter selbst im Intranet nicht unverschlüsselt übertragen werden. Erfolgt die Authentisierung über ein ungesichertes Netz hinweg, so dürfen Passwörter keinesfalls unverschlüsselt übertragen werden.
  • Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.
  • Die Passwörter müssen im System zugriffssicher gespeichert werden, z. B. mittels Einweg-Verschlüsselung (Hashfunktionen).
  • Der Passwortwechsel sollte vom System regelmäßig initiiert werden.
  • Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT -System verhindert werden (Passworthistorie).

Prüffragen:

  • Gibt es eine verbindliche Regelung für den Passwortgebrauch?

  • Sind die Benutzer angewiesen, Passwörter mit ausreichender Komplexität zu verwenden, die dem Schutzbedarf angemessen sind?

  • Sind die Benutzer angewiesen, ihr Passwort geheim zu halten?

  • Wird getestet, wie viele Stellen des Passwortes tatsächlich vom IT-System überprüft werden?

  • Werden Passwörter in regelmäßigen Abständen gewechselt?

  • Werden Passwörter sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht?

  • Bei erfolglosen Anmeldeversuchen: Wird nicht bekannt gegeben, ob Benutzername und/oder Passwort falsch waren?

Stand: 15. EL Stand 2016