Bundesamt für Sicherheit in der Informationstechnik

M 2.402 Zurücksetzen von Passwörtern

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Informationssicherheitsmanagement, Leiter IT

Solange Benutzer sich mit Passwörtern authentisieren müssen, wird es vorkommen, dass sie ihre Passwörter vergessen. Einerseits soll Benutzern in so einer Situation schnell geholfen werden, damit sie wieder arbeiten können. Andererseits muss verhindert werden, dass sich Unberechtigte durch unzureichende Berechtigungsprüfungen Zugriff auf IT-Systeme verschaffen können (siehe G 5.42 Social Engineering ). Daher muss jede Institution für das Zurücksetzen von Passwörtern geeignete Vorgehensweisen auswählen.

Wichtig ist dabei, dass für das Zurücksetzen von Passwörtern flexible Richtlinien definiert werden. Eine starre Vorgehensdefinition ist in den meisten Fällen in der heutigen mobilen Arbeitswelt nicht praktikabel. Einerseits sollte das Vorgehen dem Schutzbedarf des jeweiligen Passwortes entsprechen und andererseits sollten die Zugriffsanforderungen der Anwender berücksichtigt werden.

Welche Vorgehensweise jeweils angemessen ist, hängt von vielen Faktoren ab, beispielsweise von der Größe der Institution, der Anzahl der Mitarbeiter, der geographischen Verteilung der Mitarbeiter (sind diese immer vor Ort, sind sie oft beim Kunden, wie sind diese dann erreichbar usw.) und natürlich vom Schutzbedarf der durch das Passwort geschützten Informationen und Geschäftsprozesse (Zugriff nur auf ein lokales IT-System, auf ein LAN, auf interne Netze von außerhalb, auf ein Internet-Postfach, usw.).

Hinweis: Das übliche Authentisierungsverfahren mit Hilfe von Benutzername und Passwort ist in der Regel für den normalen Schutzbedarf geeignet. Für höheren Schutzbedarf sollten stärkere Authentisierungsverfahren eingesetzt werden, beispielsweise durch die Kombination mit Chipkarte, USB-Token oder Einmalpasswort-Verfahren.

Im Folgenden werden die Vor- und Nachteile einiger Varianten zur Passwort-Rücksetzung dargestellt, aus denen die für den jeweiligen Anwendungsfall angemessenen Verfahren ausgewählt werden können.

Schriftlich per Post oder Fax

Hierbei wird für das Zurücksetzen eines Passworts ein Formular verwendet, in dem der Benutzer seinen Namen eintragen und unterschreiben muss. Dieses Formular muss dann per Post oder Fax dem Support gesendet werden. Dieses Verfahren ist gründlich, vor allem, wenn die Formulare archiviert werden. Nachteil ist allerdings, dass es je nach Organisationsgröße einige Zeit dauern kann, bis das Formular per (Haus-)Post beim Support ankommt. Um zu verhindern, dass sich ein Unberechtigter einfach im Namen eines berechtigten Benutzers ein Passwort zurücksetzen lässt, sollten bei dieser Variante Vergleichsunterschriften vorliegen. Der Bearbeiter beim Support muss dann die Unterschrift auf dem Formular mit der hinterlegten Unterschrift vergleichen.

Die Antwort mit dem neuen Passwort könnte der Bearbeiter ebenfalls per Post oder Fax übersenden.

Bei einem Fax kann aber im Allgemeinen nicht sichergestellt werden, dass wirklich nur der Benutzer das Passwort erhält. Bei der Postübertragung könnte ein versiegelter Umschlag verwendet werden. Nachteil ist aber wieder die Post-Laufzeit.

Telefonisch ohne Zusatzmerkmale

Die einfachste Variante ist, Passwörter per telefonischem Zuruf zurückzusetzen. Allerdings ist hierbei eine sichere Verifizierung des Benutzers aufwändig. Der Support muss in der Lage sein, an Hand der Stimme den Benutzer zu identifizieren. In Institutionen, deren Größenordnung es erlaubt, dass die Mitarbeiter sich telefonisch gegenseitig aufgrund der Stimme identifizieren können, ist diese Lösung möglich.

Eine Überprüfung der Telefonnummer ist auch nicht ausreichend. Diese könnte beispielsweise gefälscht sein. Ein Angreifer könnte auch die Abwesenheit eines Mitarbeiters nutzen, um aus dessen Büro heraus beim Support anzurufen. Genau dieses Szenario, also dass Passwörter alleine auf Grund eines Anrufs zurückgesetzt werden, steht sogar im Fokus von Social-Engineering-Angriffen. Auf diese Variante sollte also möglichst verzichtet werden.

Telefonisch plus Wissensfrage

Um einen Passwort-Wechsel per Telefon zu erleichtern, kann der Support auch zusätzliche Wissensmerkmale abfragen, die vorher hinterlegt wurden. Dies können beispielsweise Geburtstag oder Personalnummer des Mitarbeiters sein (dies sind allerdings Merkmale, die leicht in Erfahrung zu bringen sind). Es können Merkwörter sein, die sich zwar der Benutzer leicht merken kann, die aber schwer zu erraten ist. Hierfür empfiehlt es sich, nicht nur einen Begriff zu hinterlegen, sondern mehrere und eventuell zu jedem Begriff auch eine passende Frage zu hinterlegen. Beispielsweise könnte beim Support dann eine Frage wie "Wie hieß das Haustier, dass Sie mit 10 Jahren hatten?" mit der passenden Antwort hinterlegt sein.

Es sollten hierbei möglichst keine vorformulierten Wissensfragen wie "Wie ist der Vorname ihres Vaters?" verwendet werden, da die Antworten hierauf leicht herauszufinden sind.

Identitätsüberprüfung mittels schon abgespeicherter Informationen

Bei einer Anfrage per Telefon kann zur Identitätsüberprüfung auch auf andere, bei der Registrierung des Benutzers schon abgespeicherte Informationen zurückgegriffen werden. Dies könnte beispielsweise eine Mitarbeiter-Kennziffer, Geburtsdatum oder ähnliches sein. Ein Nachteil ist hierbei, dass die meisten solcher typischerweise vorab erfassten Informationen vielerorts bekannt sind und meist auch schnell über das Internet recherchiert werden können.

Persönliche Vorsprache

Hierbei muss der Benutzer direkt zu einer bestimmten Person gehen und den Passwort-Wechsel veranlassen. Diese Person kann, je nach Institutionsgröße, entweder ein Vorgesetzter, ein Fachverantwortlicher oder direkt ein Support-Mitarbeiter sein.

Diese Person sollte auf jeden Fall dazu berechtigt sein, die (Neu-)Vergabe von Zugriffsrechten zu genehmigen und deren Einrichtung zu beauftragen oder selbst durchzuführen.

Beauftragung einer vertrauenswürdigen Person

Bei dieser Variante könnte beispielsweise ein Kollege beauftragt werden, eine signierte E-Mail an den Support zu senden, in der er um die Zurücksetzung des Passwortes bittet. Durch die kryptographische Signatur kann überprüft werden, wer die Anfrage gestellt hat. Hat er hierfür keinen Auftrag erhalten, könnte ein Angriff nachträglich nachgewiesen werden.

Das neue Passwort könnte in einer verschlüsselten Mail der beauftragten Person übermittelt werden, das er dem betroffenen Benutzer mitteilt. Zusätzlich sollte der Benutzer über die Zurücksetzung informiert werden, damit ein möglicher Angriff entdeckt werden kann.

Dieser Ansatz hat allerdings die Nachteile, dass ein Angriff im Allgemeinen erst nachträglich festgestellt werden würde und dass ein Dritter das Rücksetzungspasswort erfahren würde.

Zurücksetzen auf Einmal-Passwörter

Generell sollte der Support bei der Rücksetzung von Passwörtern nur Einmal-Passwörter vergeben, so dass die Benutzer diese unmittelbar nach der erfolgreichen Anmeldung auf ein nur ihnen bekanntes Passwort ändern müssen. Dabei sollte der Support darauf achten, kein einheitliches Rücksetzungspasswort zu verwenden, da sich ein solches schnell herumspricht. Die Zeichenzusammensetzung des Passwortes sollte außerdem so komplex sein, dass es nicht leicht zu erraten ist.

Außerdem sollte der Support verifizieren, ob das Passwort wirklich zurückgesetzt werden muss.

Mitteilung des Rücksetzungspasswortes

Um dem betroffenen Mitarbeiter das neue Passwort mitzuteilen, können ebenfalls verschiedene Wege gewählt werden, beispielsweise:

  • Der Support teilt dem Mitarbeiter das neue Passwort durch einen zweiten vordefinierten Weg mit, z. B. per Hauspost oder Rückruf auf eine vorher registrierte Telefonnummer (nicht, wenn von dieser die Rücksetzungsanfrage kam).
  • Das Passwort kann einem Vorgesetzten, einem Sekretariat oder einer anderen vertrauenswürdigen Stelle mitgeteilt werden, die den Mitarbeiter kennt und diesen informiert.
  • Das Passwort wird an eine vorab registrierte Adresse (physische oder E-Mail-Adresse) gesendet.
  • Das Passwort wird per Kurier versendet, der den Ausweis des Empfängers überprüft.

Schulung der Support-Mitarbeiter

Wichtig ist auch, dass die Support-Mitarbeiter zum Berechtigungsmanagement ausreichend geschult werden. Sie sollten sowohl typische Social-Engineering-Methoden kennen, um unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen, als auch den Umgang mit Problemfällen und flexiblen Lösungsmöglichkeiten gelernt haben. Die Erfahrung zeigt, dass eine starre Vorgehensweise leichter zu hintergehen ist, vor allem, wenn sie einem Angreifer bekannt ist, als wenn Mitarbeiter mitdenken. Wenn beispielsweise festgelegt wurde, dass bei einer Passwort-Rücksetzung immer der Vorgesetzte zu informieren ist und dieser nicht greifbar ist, ist es besser, einen geeigneten Vertreter zu suchen als zu lange zu warten.

Wenn der Schutzbedarf des jeweiligen Passworts zu hoch ist und der Support-Mitarbeiter aufgrund fehlender sicherer Möglichkeiten die Verantwortung nicht übernehmen möchte, dann muss es dafür eine Eskalationsstrategie geben.

Information der Mitarbeiter

Alle Benutzer sollten darüber informiert sein, was sie veranlassen müssen, wenn sie ein Passwort vergessen haben. Außerdem sollten alle Benutzer aufmerken, wenn sie bei einem Anmeldeversuch feststellen, dass sie das korrekte Passwort nicht kennen. Neben purer Vergesslichkeit könnte dies auch ein Zeichen sein, dass sich ein Angreifer unbefugten Zugriff verschafft hat. Im Zweifelsfall sollte dies dem Sicherheitsmanagement gemeldet werden (siehe M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ).

Prüffragen:

  • Wurde ein für die Organisation angemessenes Verfahren zum Zurücksetzen von Passwörtern definiert?

  • Trägt das festgelegte Verfahren zum Zurücksetzen von Passwörtern dem Schutzbedarf der durch die Passwörter geschützten Ressourcen Rechnung?

  • Wurden die Support-Mitarbeiter für das Berechtigungsmanagement speziell geschult?

  • Bei höherem Schutzbedarf des Passwortes: Gibt es eine Eskalationsstrategie falls der Support-Mitarbeiter die Verantwortung nicht übernehmen kann?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK