Kennworte regelmäßig ändern? Nein!

Ich habe all meine Passwörter in -general error- geändert, so sagt mir mein Rechner wie es lautet wenn ich es vergessen habe.

Volksmund, Witze

Vorschriften

Was bereits (wir berichteten in diesem Artikel darüber) das NIST, die amerikanische Normungsbehörde und Studien mehrerer internationaler Universitäten vor Jahren herausgefunden haben, wird nun auch vom Bundesamt für Sicherheit in der Informationstechnik – kurz empfohlen.

In der aktuellen Version des Grundschutz-Kompendiums wurde im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8)  die Empfehlung, Kennwörter regelmäßig zu ändern, entfernt. müssen demnach nur kurzfristig geändert werden, wenn sie verbrannt sind bzw. in falsche Hände geraten sind. Ebenso wenn ein Mitarbeiter aus dem Unternehmen ausscheidet.

Ein sicheres Kennwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man diese beispielsweise nach einem Schema (Kennwort1, Kennwort2 usw.) erzeugt. 

Anwendung in der Praxis

Wer weiter Kennwörter nutzt, beherzigt am Besten die folgenden Regeln:

  • Die Richtlinie zur regelmäßigen Kennwort-Änderung entfernen
  • Kennwort-Regeln: Mindestlänge 7 Zeichen, Kleinbuchstaben, Großbuchstabe, Sonderzeichen
    [Anmerkung: Ein Kennwort aus mehreren unsinnigen Wörtern ist sicherer als ein Wort mit Sonderzeichen]
  • Organisatorische Richtlinie erstellen und leben, dass bei Ausscheiden eines Mitarbeiters alle seine Kennwörte überschrieben werden. Dies erfordert eine Dienstanweisung, die die ausschließlich dienstliche Nutzung der Mitarbeiter vorschreibt

Typische Kennwort-Vorkommen

  • Active Directory bzw. Azure Active Directory – Anmeldung an der Windows Domäne, Office 365, Exchange Online
  • Anmeldung an Web-Portalen
  • Anmeldungen, die Geld-Transaktionen ermöglichen (für diese Banking-Anmeldungen ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben)

– Die 2-Faktor-Autentifizierung ist, da, wo sie möglich ist, grundsätzlich zu empfehlen, da eine Kombination aus Smartphone und Rechner die Sicherheit bietet (etwas was ich weiß und etwas was ich habe), das diese Kombination nur äußerst schwer knackbar ist. Microsoft bietet mit der Authenticator App eine Solche Lösung für alle Azure-Active Directory basierenden Portale. Lesen Sie dazu auch unseren BLOG-Artikel.

So kann beispielsweise bei Microsoft EntraID mit der passenden Lizenz beispielsweise mit „conditional Access“ die Geräte-ID, geografische Merkmale, ein Token, biometrische Merkmale wie Finger oder Gesicht oder ein Token benutzt werden, um sicherzustellen, dass der Zugriff auf vertrauliche Daten nicht fremd erfolgt.

Zusammenfassung
  1. Azure Active Directory - Anmeldung an der Windows Domäne, Office 365, Exchange Online Anmeldung an Web-Portalen Anmeldungen, die Geld-Transaktionen ermöglichen (für diese Banking-Anmeldungen ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben) #Wichtig - Die 2-Faktor-Autentifizierung ist, da, wo sie möglich ist, grundsätzlich zu empfehlen, da eine Kombination aus Smartphone und Rechner die Sicherheit bietet (etwas was ich weiß und etwas was ich habe), das diese Kombination nur äußerst schwer knackbar ist.
  2. So kann beispielsweise bei Microsoft EntraID mit der passenden Lizenz beispielsweise mit "conditional Access" die Geräte-ID, geografische Merkmale, ein Token, biometrische Merkmale wie Finger oder Gesicht oder ein Token benutzt werden, um sicherzustellen, dass der Zugriff auf vertrauliche Daten nicht fremd erfolgt.
  3.   Anwendung in der Praxis Wer weiter Kennwörter nutzt, beherzigt am Besten die folgenden Regeln: Die Richtlinie zur regelmäßigen Kennwort-Änderung entfernen Kennwort-Regeln: Mindestlänge 7 Zeichen, Kleinbuchstaben, Großbuchstabe, Sonderzeichen[Anmerkung: Ein Kennwort aus mehreren unsinnigen Wörtern ist sicherer als ein Wort mit Sonderzeichen] Organisatorische Richtlinie erstellen und leben, dass bei Ausscheiden eines Mitarbeiters alle seine Kennwörte überschrieben werden.
Verwandte Beiträge

Über den Autor:

Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert