Icon für Kategorien Sicherheit Icon für Schlagwörter , ,

Kennworte regelmäßig ändern? Nein!

Was bereits (wir berichteten in diesem Artikel darüber) das NIST, die amerikanische Normungsbehörde und Studien mehrerer internationaler Universitäten vor Jahren herausgefunden haben, wird nun auch vom Bundesamt für Sicherheit in der Informationstechnik – kurz #BSI empfohlen.

In der aktuellen Version deren #Grundschutz-Kompendiums wurde im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8)  die Empfehlung, Kennwörter regelmäßig zu ändern, entfernt. #Kennwörter müssen demnach nur kurzfristig geändert werden, wenn sie verbrannt sind bzw. in falsche Hände geraten sind. Ebenso wenn ein Mitarbeiter aus dem Unternehmen ausscheidet.

Ein sicheres Kennwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man diese beispielsweise nach einem Schema (Kennwort1, Kennwort2 usw.) erzeugt. 

Anwendung in der Praxis

  • Die Richtlinie zur regelmäßigen Kennwort-Änderung entfernen
  • Kennwort-Regeln: Mindestlänge 7 Zeichen, Kleinbuchstaben, Großbuchstabe, Sonderzeichen
    [Anmerkung: Ein Kennwort aus mehreren unsinnigen Wörtern ist sicherer als ein Wort mit Sonderzeichen]
  • Organisatorische Richtlinie erstellen und leben, dass bei Ausscheiden eines Mitarbeiters alle seine Kennwörte überschrieben werden. Dies erfordert eine Dienstanweisung, die die ausschließlich dienstliche Nutzung der Mitarbeiter vorschreibt

Typische Kennwort-Vorkommen

  • Active Directory bzw. Azure Active Directory – Anmeldung an der Windows Domäne, Office 365, Exchange Online
  • Anmeldung an Web-Portalen
  • Anmeldungen, die Geld-Transaktionen ermöglichen (für diese Banking-Anmeldungen ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben)

Die 2-Faktor-Autenfizierung ist, da, wo sie möglich ist, grundsätzlich zu empfehlen, da eine Kombination aus Smartphone und Rechner die Sicherheit bietet (etwas was ich weiß und etwas was ich habe), das diese Kombination nur äußerst schwer knackbar ist. Microsoft bietet mit der Authenticator App eine Solche Lösung für alle Azure-Active Directory basierenden Portale.

Auch interessant

Sicherheit   Kennwort-Sicherheit mangelhaft?   Das Bundesamt für Sicherheit in der Informationstechnik gibt in den
Veranstaltungen   IT-Sicherheit | Infrastrukturanalyse   Erfahren Sie mehr zum Thema IT-Sicherheit mit der Infrastrukturanalyse. Sie können
Sicherheit   Support für Backup Exec endet   Seit vielen Jahren unterstützen wir #Backup Exec von Symantec bzw.
Sicherheit   Kritische Lücke in Logitech Funkmäusen/Tastaturen   Sicherheitslücken und Risiko Zahlreiche Wireless Geräte von Logitech (Funkmäuse, Tastaturen,
Sicherheit   Letztes Java Sicherheitsupdate   Oracle hat heute das letzte kostenlose Java-Sicherheitsupdates für die #Java

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.