article

Passwortrichtlinie

Eine Passwortrichtlinie ist ein Regelwerk, das Systeme und Anwendungen vor einem unbefugten Zugriff aufgrund von schwachen Anmeldedaten- oder prozessen schützt. Eine robuste Passwortrichtlinie ist ein wichtiger Bestandteil der Sicherheitslage eines Unternehmens und für effektive Zugriffskontrollen unerlässlich. Sie regelt die Erstellung und Verwendung von Passwörtern, um den Gesamtschutz zu optimieren und Missbrauch oder Diebstahl von Passwörtern zu minimieren.

NIST-Richtlinien zu Passwortrichtlinien

Kriterien für Passwortrichtlinien

  • Benutzern sollte die Passwortrichtlinie angezeigt werden, und sie sollten die Möglichkeit haben, eigene Passwortrichtlinien zu erstellen.
  • Von einem Benutzer erstellte Passwörter sollten mindestens acht Zeichen lang sein, können aber bis zu 64 Zeichen umfassen.
  • Benutzern sollte die Verwendung aller druckbaren ASCII-Zeichen (RFC 20) und der Leertaste in ihren Passwörtern sowie von Unicode-Zeichen (ISO/IEC 10646) gestattet sein; jeder Codepunkt sollte als einzelnes Zeichen gezählt werden.
  • Eine Passwortrichtlinie sollte der Wahl der Passwörter durch die Benutzer keine weiteren Beschränkungen auferlegen (d. h. es sollten keine zusätzlichen Anforderungen an die Komplexität bestehen). So sollten Benutzer beispielsweise nicht dazu verpflichtet werden, ein Passwort mit einer Mischung verschiedener Zeichentypen zu erstellen und sich nacheinander wiederholende Zeichen sollten nicht verboten sein.
  • Benutzer sollten nicht gezwungen werden, ihr Passwort zu ändern, es sei denn, es gibt Hinweise auf eine Kompromittierung des Passworts.

Passwortrichtlinien und Blacklists

Bevor das von einem Benutzer ausgewählte Passwort (d. h. neu oder aktualisiert) bestätigt wird, sollte es mit einer Liste erratbarer Werte verglichen werden, da diese erwartet oder häufig verwendet werden oder bekanntermaßen kompromittiert sind. Beispiele für erratene Passworttypen sind Passwörter aus früheren Datenlecks, Wörterbuchwörter, sich wiederholende oder aufeinanderfolgende Zeichen (z. B. aaaaaa und 1234abcd) und kontextspezifische Wörter (z. B. der Name des Dienstes, der Benutzername und Ableitungen davon).

Wird das vom Benutzer gewählte Passwort abgelehnt, weil es die angegebenen Kriterien nicht erfüllt oder auf einer schwarzen Liste kompromittierter Passwörter steht, muss der Benutzer ein anderes Passwort wählen. In diesem Fall wird der Benutzer über den Grund für die Ablehnung seines Passworts informiert.

Passwortrichtlinie für die Funktionen Ausschneiden/Einfügen und Anzeigen

Benutzer sollten die Ausschneide- und Einfügefunktion verwenden dürfen, um Passwörter in Formulare einzugeben. Darüber hinaus sollten Benutzer die Möglichkeit haben, ihr Passwort bei der Eingabe anzuzeigen, um zu bestätigen, dass es korrekt ist.

Passwortrichtlinie für fehlgeschlagene Anmeldeversuche

Um die Anzahl fehlgeschlagener Anmeldeversuche für ein Benutzerkonto zu begrenzen und so vor Online-Rate-Angriffen zu schützen, sollte ein Rate-Begrenzungsmechanismus implementiert werden. Gemäß NIST 800-63B Abschnitt 5.2.2 sollten nicht mehr als 100 Versuche zulässig sein.

Passwortrichtlinie für den Passwortschutz

Um angeforderte Passwörter sicher zu übertragen, sollten Verschlüsselungs- und Authentifizierungslösungen verwendet werden. Zusätzlich sollten Passwörter mithilfe einer geeigneten unumkehrbaren Schlüsselableitungsfunktion mit einem Salt und einem Hash versehen werden. Der Salt sollte folgende Kriterien erfüllen:

  • Erstellt durch einen Zufallsbitgenerator
  • Mindestens 32 Bit lang
  • Willkürlich gewählt

Der Hash sollte so groß sein, wie es die Leistung des Verifizierungsservers zulässt, normalerweise mindestens 10.000 Iterationen.

Passwortrichtlinie für die zufällige Generierung

Wenn ein Passwort von der Anwendung oder dem System zufällig generiert wird, braucht es nur mindestens sechs Zeichen lang sein.

Passwortrichtlinie für die Qualität

Ein Passwortstärkemesser sollte verwendet werden, um Benutzern die Qualität ihrer vorgeschlagenen Passwörter anzuzeigen. Dies fördert die Erstellung sicherer Passwörter und hält Benutzer davon ab, abgelehnte Passwörter durch geringfügige Änderungen zu bestätigen, die zwar zu einer Genehmigung führen, wobei die Passwörter aber weiterhin von geringer Qualität sind.

Passwortrichtlinie für Vorschläge

Unter keinen Umständen sollte es Benutzern gestattet sein, einen Passworthinweis zu speichern, auf den jemand außer ihnen selbst zugreifen könnte. Zudem dürfen keine Eingabeaufforderungen als Hinweise gegeben werden. Beispielsweise ist es nicht zulässig, von Benutzern Sicherheitsfragen und -antworten als Eingabeaufforderungen zu verlangen, wie etwa den Namen ihres ersten Haustiers, das Modell ihres ersten Autos oder den Mädchennamen ihrer Mutter.

Highlights der NIST SP800-63B-Richtlinien zur Passwortrichtlinie

– Verwendung von ASCII-Zeichen, Unicode-Zeichen und Leerzeichen in Passwörtern ist gestattet. – Keine Komplexitätsanforderungen oder Ablauffristen für Passwörter erzwingen. – Die Kopier- und Einfügefunktion während der Passworteingabe ermöglichen. – Die Multi-Faktor-Authentifizierung (MFA) implementieren und erzwingen. – Aufeinanderfolgende fehlgeschlagene Authentifizierungsversuche für ein einzelnes Konto begrenzen (beachten Sie, dass NIST empfiehlt, diese Zahl auf 100 zu begrenzen, die meisten Experten sind sich jedoch einig, dass die Zahl einstellig sein sollte). – Eine Mindestlänge von 8 Zeichen für Passwörter vorschreiben. – Einen Passwortstärkemesser bereitstellen. – Passwörter müssen mit einem Salt und einem Hash versehen sein. – Alle potenziellen Passwörter anhand einer Liste von Werten überprüfen, von denen bekannt ist, dass sie häufig verwendet, erwartet oder kompromittiert werden, wie z. B. Passwörter, die: —Wörter enthalten, die in Wörterbüchern vorkommen. —aus früheren Datenlecks stammen. —sich wiederholende oder aufeinanderfolgende Zeichen (z. B. aaaaaa und 1234abcd) enthalten. —kontextspezifische Wörter (z. B. den Namen des Dienstes, den Benutzernamen und Ableitungen davon) enthalten. -Passwörter in einer Form speichern, die gegen Offline-Angriffe resistent ist (z. B. verschlüsselt).

Weitere Standards und Richtlinien zur Passwortsicherheit

Nachfolgend finden Sie Beispiele für Standards und Leitlinien zu Passwortrichtlinien.

Zentrum für Internetsicherheit (Center for Internet Security; CIS)

Der CIS-Leitfaden für Passwortrichtlinien soll eine einzige, umfassende Passwortrichtlinie darstellen, die überall dort als Standard dienen kann, wo eine Passwortrichtlinie erforderlich ist. Zu den wichtigsten Richtlinien der CIS-Passwortrichtlinie gehören:

  • Alle Zeichentypen in einem Passwort gestatten und mindestens ein nicht-alphabetisches Zeichen für Nur-Passwort-Konten verlangen.
  • Das Einfügen in Passwortfelder bei Verwendung eines Passwortmanagers gestatten.
  • Ein Konto ohne gültige Anmeldung nach 45 Tagen automatisch sperren.
  • Das Passwort im Fall eines Verstoßes sofort ändern.
  • Passwörter bei deren Erstellung anhand einer internen Sperrliste mit mindestens 20 bekannten schlechten oder schwachen Passwörtern und den letzten fünf Passwörtern überprüfen.
  • Keine benutzerdefinierten Passworthinweise bei der Anmeldung zulassen.
  • Das Ablaufen von Passwörtern nach einem Jahr erzwingen.
  • Eine vorübergehende Kontosperrung für 15 Minuten oder länger nach fünf aufeinanderfolgenden fehlgeschlagenen Versuchen implementieren, mit einer zeitverdoppelnden Drosselung (in Minuten) zwischen jedem Wiederholungsversuch und einer dauerhaften Kontosperrung (IT-Reset erforderlich) nach 12 Wiederholungsversuchen.
  • Offene Sitzungen nach 15 Minuten Inaktivität sperren.
  • Wichtige Mitarbeiter benachrichtigen, wenn die oben genannten ungültigen Anmeldeversuche das Limit erreichen.

Informationsdienste der Strafjustiz (Criminal Justice Information Services; CJIS)

CJIS ist die größte Abteilung des FBI und stellt Tools und Dienste für Strafverfolgungsbehörden, Partner der nationalen Sicherheitsgemeinschaft und die breite Öffentlichkeit bereit. Die Passwortrichtlinien des CJIS orientieren sich eng an NIST 800-63B. Weitere Empfehlungen des CJIS zur Passwortrichtlinie sind unter anderem:

  • Biometrie sollte nur im Rahmen der Multi-Faktor-Authentifizierung mit einem physischen Authentifikator verwendet werden.
  • Standardpasswörter sind vor der ersten Verwendung zu ändern.
  • Verwaltungsverfahren für die erstmalige Passworterstellung, verlorene/kompromittierte/beschädigte Passwörter und das Widerrufen von Passwörtern festlegen.
  • Wenn ein Passwort abläuft, sollte es wiederverwendbar sein.
  • Wiedergaberesistente Authentifizierungsmechanismen für den Zugriff auf privilegierte und nicht privilegierte Konten implementieren.
  • Benutzer sofort benachrichtigen, wenn der Verdacht besteht, dass ein Passwort verloren gegangen oder gestohlen wurde.
  • Benutzer mindestens einmal alle 12 Stunden, während einer längeren Nutzungssitzung und nach 30 Minuten, wenn der Benutzer inaktiv ist, erneut authentifizieren.
  • Passwörter jährlich oder wenn es Anzeichen für eine Kompromittierung gibt aktualisieren.
  • Die Multi-Faktor-Authentifizierung für privilegierte und nicht privilegierte Konten verwenden.

Health Insurance Portability and Accountability Act (HIPAA)

Die HIPAA-Sicherheitsregel bietet nationale Standards zum Schutz vertraulicher Patientendaten vor der Offenlegung ohne Einwilligung oder Wissen des Patienten. Die HIPAA-Passwortanforderungen fallen unter die administrativen Schutzmaßnahmen der HIPAA-Sicherheitsregel und umfassen:

  • Richtlinien für die regelmäßige Erstellung und Änderung von Passwörtern festlegen.
  • Verfahren zum Erstellen, Ändern und Schützen von Passwörtern implementieren.
  • Mitarbeiter hinsichtlich des Schutzes von Passwortinformationen schulen.

Internationale Organisation für Normung/Internationale Elektrotechnische Kommission 27002

ISO/IEC 27002 ist ein Informationssicherheitsstandard, der von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Er enthält Richtlinien für Passwörter, um unbefugten Zugriff auf Systeme und Anwendungen zu verhindern. Dazu gehören:

  • Standardpasswörter der Anbieter nach der Installation von Systemen oder Software ändern.
  • Erstellen Sie hochwertige Passwörter mit ausreichender Mindestlänge, die:
    • Leicht zu merken sind.
    • Nicht auf Informationen basieren, die jemand anderes mithilfe personenbezogener Daten (z. B. Namen, Telefonnummern und Geburtsdaten) leicht erraten oder erlangen könnte.
    • Nicht anfällig für Wörterbuchangriffe sind (d. h. nicht aus Wörtern bestehen, die in Wörterbüchern enthalten sind).
  • Nicht dieselben geheimen Authentifizierungsdaten für geschäftliche und private Zwecke nutzen.
  • Für einen angemessenen Schutz der Passwörter sorgen, wenn diese gespeichert und für automatisierte Anmeldevorgänge verwendet werden.
  • Die Verwendung aufeinanderfolgender identischer, rein numerischer oder rein alphabetischer Zeichen verbieten.
  • Passwörter geschützt (z. B. verschlüsselt oder gehasht) speichern und transferieren.
  • Verwenden Sie interaktive Passwortverwaltungssysteme, die:
    • Benutzern die Wahl und Änderung ihrer Passwörter ermöglichen.
    • Passwörter bei der Eingabe nicht auf dem Bildschirm anzeigen.
    • Die Verwendung individueller Benutzerkennungen (IDs) und Passwörter durchsetzen, um die Verantwortlichkeit zu wahren.
    • Benutzer zur Änderung ihrer Passwörter bei der ersten Anmeldung zwingen.
    • Passwörter früherer Benutzer protokollieren und deren Wiederverwendung verhindern.
    • Benutzer regelmäßig und bei Kompromittierung zur Passwortänderung auffordern.
    • Die Verwendung sicherer Passwörter vorschreiben.
  • Passwortdateien getrennt von Anwendungssystemdaten speichern.

North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP)

NERC CIP verfügt über Standards, die die Mindestsicherheitsanforderungen für Großstromsysteme festlegen. Es enthält Anforderungen an die Passwortrichtlinie für Stromnetzbetreiber, darunter:

  • Bekannte Standardpasswörter ändern.
  • Passwortänderungen erzwingen oder zu Passwortänderungen mindestens alle 15 Kalendermonate verpflichten.
  • Die Anzahl erfolgloser Authentifizierungsversuche begrenzen.
  • Ein Passwort mit mindestens acht Zeichen anfordern, das mindestens drei verschiedene Zeichentypen enthalten muss (z. B. Großbuchstaben, Kleinbuchstaben, Ziffern oder nicht-alphanumerische Zeichen).

Datensicherheitsstandard der Kreditkartenbranche (PCI DSS)

PCI DSS enthält Anforderungen zum Schutz vertraulicher Daten sowie zur Wahrung der Privatsphäre. Er enthält Richtlinien für Passwortrichtlinien, darunter:

  • Vom Anbieter bereitgestellte Passwörter stets ändern.
  • Die Festcodierung von Passwörtern in Skripten untersagen.
  • Niemandem gestatten, ein neues Passwort einzugeben, das mit einem der letzten vier Passwörter identisch ist.
  • Benutzer zur erneuten Passworteingabe zwingen, wenn sie länger als 15 Minuten inaktiv waren.
  • Wiederholte Zugriffsversuche begrenzen, indem Sie die Benutzer-ID nach höchstens sechs Versuchen sperren.
  • Benutzer mindestens alle 90 Tage auffordern, ihre Passwörter zu ändern.
  • Verlangen, dass Passwörter mindestens 12 Zeichen lang sind und sowohl numerische als auch alphabetische Zeichen enthalten.
  • Bei der Erstellung einen Hinweis zur Passwortstärke angeben.
  • Nach Möglichkeit eine Multi-Faktor-Authentifizierung (MFA) verwenden.
  • Eine Mindestlänge von 14 Zeichen für Nur-Passwort-Konten und acht Zeichen für MFA-fähige Konten vorschreiben, damit die maximale Passwortlänge je nach Systemeinschränkungen so lang wie möglich sein kann.

Bestandteile einer Passwortrichtlinie

Nachfolgend finden Sie einige wichtige Komponenten, die in einer Passwortrichtlinie enthalten sein sollten.

  • Ein Verbot der Weitergabe von Passwörtern
  • Kriterien für ein akzeptables Passwort (z. B. Länge, Komplexität und Ausnahmen)
  • Einschränkungen bei der Wiederverwendung von Passwörtern
  • Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche und zugehörige Verfahren bei Sperrungen
  • Parameter für eine akzeptable Passwortstärke
  • Richtlinien und Anforderungen zur Passwortspeicherung
  • Vorgehensweise zum Ändern eines Passworts
  • Voraussetzungen für die Multi-Faktor-Authentifizierung (MFA)
  • Regeln für das Ablaufen und Zurücksetzen von Passwörtern

Best Practices für die Passwortrichtlinie im Unternehmen

Nachfolgend finden Sie die wichtigsten Best Practices für die Entwicklung einer Passwortrichtlinie.

Die Passwortrichtlinie durchsetzen

Automatisierte Systeme verwenden, um die Passwortrichtlinie durchzusetzen, und führen Sie stichprobenartige Prüfungen durch, um sicherzustellen, dass die Benutzer die Regeln befolgen, die nicht automatisiert werden können.

Die Passwortrichtlinie auf dem neuesten Stand halten

Die Passwortrichtlinie einer Organisation sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie weiterhin den neuesten Best Practices entspricht und die optimale verfügbare Technologie nutzt.

Die Verwendung sicherer Passwörter und Nutzungsprotokolle verlangen

Um zu verhindern, dass unbefugte Benutzer Passwörter erraten, sollten sie diese Richtlinien befolgen.

  • Passwörter im Fall einer Kompromittierung ändern.
  • Die vom Benutzer vorgeschlagenen Passwörter mit einer Liste häufig verwendeter, erwarteter oder kompromittierter Passwörter vergleichen.
  • Benutzer anweisen, ihre Passwörter niemals weiterzugeben.
  • Gespeicherte Passwörter verschlüsseln.
  • Wenn Passphrasen verwendet werden, müssen diese aus drei oder mehr Wörtern aus dem Wörterbuch bestehen, die durch nicht-alphabetische Zeichen verbunden sind (z. B. Party-1999@Lake!bLue).
  • Eine Multi-Faktor-Authentifizierung (MFA) implementieren.
  • Passwörter müssen:
    • Müssen mindestens acht alphanumerische Zeichen umfassen.
    • Müssen mindestens einen Großbuchstaben und mindestens einen Kleinbuchstaben enthalten.
    • Müssen mindestens zwei nicht-alphabetische Zeichen und mindestens drei alphabetische Zeichen enthalten.
    • Dürfen keine leicht zu erratenden oder zu beschaffenden persönlichen Informationen enthalten, wie etwa Namen von Familienmitgliedern oder Haustieren.
  • Passwörter sollten nicht wiederverwendet werden.

Penetrationstests nutzen

Gehen Sie proaktiv an die Sicherheit heran und nutzen Sie ethische Hacker, um Systeme zu untersuchen und Benutzer zu testen, um so die Einhaltung der Passwortrichtlinien und andere Sicherheitslücken zu ermitteln.

Häufig gestellte Fragen zur Passwortrichtlinie

Zu den häufig gestellten Fragen zur Passwortrichtlinie gehören die folgenden.

Mit welchen Problemen ist das Unternehmen konfrontiert, wenn Passwortprobleme auftreten?

Die Nichtbeachtung einer Passwortrichtlinie kann zu zahlreichen Problemen führen. Die drei schwerwiegendsten Probleme sind:

  1. Datenschutzverletzung
  2. Verstöße gegen die Compliance und Strafen
  3. Unbefugter Zugriff auf Systeme und andere Vermögenswerte

Was ist eine Unternehmenspasswortrichtlinie?

Eine Unternehmenspasswortrichtlinie verwendet Best Practices und Standards auf eine Weise, die den spezifischen internen Anforderungen an Arbeitsabläufe, Sicherheit und Compliance entspricht.

Wie sollte die Unternehmenspasswortrichtlinie kommuniziert werden?

Alle Benutzer, die auf Unternehmensressourcen zugreifen, sollten die Untenehmenspasswortrichtlinie kennen und verstehen. Diese sollten auf verschiedene Weise kommuniziert werden, unter anderem im Rahmen von:

  • Das Mitarbeiterhandbuch
  • Onboarding
  • Sicherheitsschulung
  • Systemaufforderungen beim Zugriff auf Assets
  • Updates und Erinnerungen von Sicherheits- und IT-Teams

Die Durchsetzung von Passwortrichtlinien ist eine wichtige erste Verteidigungslinie im Cyberspace

Durch die einfache Implementierung und Durchsetzung von Best Practices und Standards für Passwortrichtlinien lässt sich ein häufig ausgenutzter Angriffsvektor stoppen. Durch Schulungen und Sicherheitsvorkehrungen, die Benutzer zur Einhaltung von Passwortrichtlinien und Prozessregeln verpflichten, wird sichergestellt, dass Schwachstellen minimiert und vertrauliche Informationen vor einem unbefugten Zugriff geschützt werden.

Datum: 29. Juli 2025Lesezeit: 14 Minuten
ComplianceUntitled

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt