M 2.11 Regelung des Paßwortgebrauchs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Benutzer

Werden in einem IT-System Paßwörter zur Authentisierung gebraucht, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, daß das Paßwort korrekt gebraucht wird. Dafür ist es empfehlenswert, eine Regelung zum Paßwortgebrauch einzuführen und den IT-Benutzer diesbezüglich zu unterweisen.

Folgende Regeln zum Paßwortgebrauch sollten beachtet werden:

• Das Paßwort darf nicht leicht zu erraten sein wie Namen, Kfz-Kennzeichen, Geburtsdatum.
• Innerhalb des Paßwortes sollte mindestens ein Zeichen verwendet werden, das kein Buchstabe ist (Sonderzeichen oder Zahl).
• Das Paßwort sollte mindestens 6 Zeichen lang sein. Es muß getestet werden, wieviele Stellen des Paßwortes vom Rechner überprüft werden.
• Voreingestellte Paßwörter (z. B. des Herstellers bei Auslieferung von Systemen) müssen durch individuelle Paßwörter ersetzt werden.
• Paßwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.
• Das Paßwort muß geheimgehalten werden und sollte nur dem Benutzer persönlich bekannt sein.
• Das Paßwort sollte nur für die Hinterlegung schriftlich fixiert werden, wobei es dann in einem verschlossenen Umschlag sicher aufbewahrt wird. Wird es darüber hinaus aufgeschrieben, ist das Paßwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren (vgl. M 2.22 Hinterlegen des Paßwortes ).
• Das Paßwort muß regelmäßig gewechselt werden, z. B. alle 90 Tage.
• Ein Paßwortwechsel ist durchzuführen, wenn das Paßwort unautorisierten Personen bekannt geworden ist.
• Alte Paßwörter sollten nach einem Paßwortwechsel nicht mehr gebraucht werden.
• Die Eingabe des Paßwortes sollte unbeobachtet stattfinden.

• Die Wahl von Trivialpaßwörtern ("BBBBBB", "123456") sollte verhindert werden.
• Jeder Benutzer muß sein eigenes Paßwort jederzeit ändern können.
• Für die Erstanmeldung neuer Benutzer sollten Einmalpaßwörter vergeben werden, also Paßwörter, die nach einmaligem Gebrauch gewechselt werden müssen. In Netzen, in denen Paßwörter unverschlüsselt übertragen werden, empfiehlt sich die dauerhafte Verwendung von Einmalpaßwörtern (vgl. M 5.34 Einsatz von Einmalpaßwörtern ).
• Nach dreifacher fehlerhafter Paßworteingabe sollte eine Sperrung erfolgen, die nur vom Systemadministrator aufgehoben werden kann.
• Bei der Authentisierung in vernetzten Systemen sollten Paßwörter nicht unverschlüsselt übertragen werden.
• Bei der Eingabe sollte das Paßwort nicht auf dem Bildschirm angezeigt werden.
• Die Paßwörter sollten im System zugriffssicher gespeichert werden, z. B. mittels Einwegverschlüsselung.
• Der Paßwortwechsel sollte vom System regelmäßig initiiert werden.
• Die Wiederholung alter Paßwörter beim Paßwortwechsel sollte vom IT-System verhindert werden (Paßwort-Historie).

• Sind die Benutzer über den korrekten Umgang mit Paßwörtern unterrichtet worden?
• Wird die Paßwort-Güte kontrolliert?
• Wird der Paßwort-Wechsel erzwungen?
• Ist jeder Benutzer im Netz mit einem Paßwort ausgestattet?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .