Passwort-Richtlinie

Passwort-Richtlinie

Stand: März 2011

Das Ziel dieser Richtlinie (Policy) ist die Sicherstellung eines notwendigen Sicherheitsniveaus für den Einsatz von Benutzername/Passwort-Verfahren. Die dazu notwendigen grundlegende Regelungen und Handlungsanweisungen sind neben spezifischen zusätzlichen Regelungen für einzelne Systeme im folgenden angeführt. Es obliegt jedem Systembetreiber darüber hinaus für die von Ihm eingesetzten Systeme selbst härtere und schärfere Regeln zu definieren und umzusetzen.

Gestaltungsrichtlinie

  • Die Länge des Passwortes muss mindestens 9 Zeichen betragen.
  • Es dürfen keine Namen oder bekannte Wörter aus einem Wörterbuch verwendet werden – auch nicht von Fremdsprachen.
  • Das Passwort darf den Accountnamen nicht enthalten.
  • Das Passwort darf keinen Bezug zum Nutzer (Geburtsdatum, Name der Freundin/des Freundes, …) besitzen.
  • Das Passwort sollte aus einer Mischung von Groß- und Kleinbuchstaben und Ziffern bestehen. Sonderzeichen sind auch zulässig.
  • Das Passwort sollte nicht notiert werden. Ein vergebenes Erstpasswort ist so schnell wie möglich zu ändern.
  • Durch Administratoren gesetzte Passworte sind unverzüglich zu ändern.
  • Die Struktur des Passworts sollte nicht erratbar sein. Dazu zählen etwa Folgen wie „QWERTZUI“ oder „123456“.
  • Das Passwort sollte gut merkbar sein.

Zusätzliche Regelungen bei spezifischen Systemen

Für einige System und Accountarten sind zu den oben genannten Punkten noch weitere Punkte einzuhalten.

Zentrale Accounts zum Beispiel TU-ID

  • Das Passwort hat eine Gültigkeit von einem Jahr und muss dann geändert werden, das letzte Passwort ist nicht zulässig.
  • Ein Anmelden mit einem abgelaufenen Passwort ist nicht zulässig.

Passwort für Proxy- und Gateway-Accounts

  • Die Länge muss mindestens 16 Zeichen betragen.
  • Das Passwort stammt aus einem Random-Passwortgenerator (zum Beispiel pwgen 16).
  • Das Passwort darf nur den Personen bekannt sein, die es zur Erledigung der ihnen übertragenen Aufgaben benötigen.

SAP Zugang

  • Mindestens eine Ziffer und ein Sonderzeichen
  • Erste Zeichen darf kein Sonderzeichen sein
  • ersten drei Zeichen dürfen weder identisch noch Teile der Benutzerkennung enthalten
  • Gültigkeit von 90 Tage
  • Änderung maximal einmal pro Tag
  • Letzten 15 Passworte sind unzulässig
  • Entsperrung nur durch einen Administrator zulässig

Sicherstellungs- und Auditmaßnahmen für Betreiber

Der Betreiber eines Authentisierungssystems hat für sein System einige grundlegene Regelungen einzuhalten und kann darüber hinaus auch weitere Schutzmechanismen etablieren.

Speicherung und Zugriff

  • Der Zugriff auf den Passwortspeicher ist stark einzuschränken.

Intrudersperre und Angriffsschutz

  • Eine automatische Accountsperre muss nach 5 Fehleingaben des Passwortes in Kraft treten.
  • Sperrfrist des Accounts bei einer automatischen Sperrung beträgt mindestens 5 Minuten.
  • Die automatische erteilte Accountsperre darf (ggf. automatisiert) frühstens nach der Sperrfrist wieder aufgehoben werden.

Qualitätssicherung der Passworte

  • Der Betreiber kann direkt beim Setzen eines Passwortes technische Maßnahmen zum Überprüfen der geltenden Policy einsetzen. Hier bei ist unter anderem ein Plausibilitätstest, der trivial oder leicht erratbare Passworte verhindern soll, möglich.
  • Der Betreiber kann automatisierte Testprogramme über seinen Nutzerstamm laufen lassen, diese müssen aber so gestaltet sein, dass er zu keinem Zeitpunkt Kenntnis der konkreten Passwörter seiner Nutzer erhält. Sollten hierbei ungültige oder unsichere Passworte detektiert werden, so darf der dazugehörige Account direkt gesperrt werden. Der entsprechende Nutzer muss zur Änderung des Passwortes aufgefordert werden.