Bundesamt für Sicherheit in der Informationstechnik

M 4.376 Festlegung von Passwortrichtlinien unter Mac OS X

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für alle Clients unter Mac OS X müssen Richtlinien für Passwörter definiert werden, um sie mit einem angemessenen starken Passwort zu versehen. Die beschriebenen Maßnahmen in M 2.11 Regelung des Passwortgebrauchs sollten unter Mac OS X umgesetzt werden. Dazu kann das Kommandozeilen-Programm "pwpolicy" benutzt werden. Mit diesem Programm lassen sich beispielsweise eine minimal erforderliche Anzahl von Buchstaben und Zahlen, eine Mindestzeichenlänge oder eine maximale Anzahl fehlgeschlagener Login-Versuche definieren. Es wird eine minimale Passwortlänge von 8 Zeichen vorgeschrieben, wenn für das Passwort alphanumerische Zeichen genutzt werden. Außerdem ist das Passwort in regelmäßigen Abständen zu wechseln.

Der folgende Befehl legt eine Richtlinien für Passwörter fest, die eine Minimallänge des Passwortes von 8 Zeichen fordert und 8 fehlgeschlagene Anmeldeversuche zulässt, bevor das Konto deaktiviert wird.

pwpolicy -n /Local/Default -setglobalpolicy "minChars=8 maxFailedLoginAttempts=8"

Weitere mögliche Passwortrichtlinien sind:
Variable Funktion
usingHistory 0 = Benutzer kann das aktuelle Passwort nochmals verwenden 1 = Benutzer darf das aktuelle Passwort nicht nochmals verwenden 2-15= Benutzer darf die letzten n Passwörter nicht nochmals verwenden.
usingExpirationDate Ist der Wert 1, wird der Benutzer zur in expirationDateGMT hinterlegten Zeit zur Passwortänderung aufgefordert.
usingHardExpirationDate Ist der Wert 1, so wird das Konto zur in hardExpireDateGMT hinterlegten Zeit deaktiviert.
requiresAlpha Ist der Wert 1, so wird mindestens ein Buchstabe im Passwort erwartet.
requiresNumeric Ist der Wert 1, so wird mindestens eine Zahl im Passwort erwartet.
expirationDateGMT Datum, an dem das Passwort geändert werden muss. Format: mm/dd/yy
hardExpireDateGMT Datum, an dem das Konto deaktiviert wird. Format: mm/dd/yy
maxMinutesUntilChangePassword Der Benutzer muss sein Passwort in dem hier angegebenen Intervall ändern.
maxMinutesUntilDisabled Das Konto wird in den hier angegebenen Minuten deaktiviert.
maxMinutesOfNonUse Bei Nichtbenutzung für die hier angegebenen Minuten wird das Konto deaktiviert.
maxFailedLoginAttempts Das Konto wird deaktiviert, wenn die Anzahl der fehlgeschlagenen Anmeldeversuche die hier hinterlegte Anzahl überschreitet.
minChars Das Passwort muss mindestens den hier angegebenen Wert an Zeichenlänge besitzen.
maxChars Das Passwort darf den hier angegebenen Wert an Zeichenlänge nicht überschreiten.

In den man(ual)-Pages unter Mac OS X lassen sich weitere Parameter zur Richtliniendefinition hinsichtlich Passwörtern einsehen.

Prüffragen:

  • Gibt es geeignete globale Passwortrichtlinien unter Mac OS X?

  • Werden unter Mac OS X Passwörter von mindestens 8 Zeichen erzwungen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK