Passwortsicherheit ist ein eines der zentralen Themen der technischen und organisatorischen Maßnahmen. Die Anmeldung mit Nutzernamen und Passwort ist dabei das gängigste Verfahren zur Authentifizierung.
Um das Risiko, dass Passwörter von Dritten auf irgendeine Weise ermittelt werden könnten zu reduzieren, sind die Nutzer verpflichtet starke Passwörter zu wählen und Hersteller & Administratoren sichere Vorgaben zu machen. Ungenügend sicher gespeicherte Passwörter sind ein Verstoß gegen Artikel 32 DSGVO und können mit Bußgeldern geahndet werden.
Ein aktuell wichtiges Thema: Es wird NICHT mehr empfohlen die Passwörter in regelmäßigen Abständen zu ändern. Passwortänderungen sind nur dann sinnvoll, wenn tatsächlich eine Kompromittierung stattgefunden hat. Dies sollte dann umgehend und nicht erst nach Ablauf einer bestimmten Frist erfolgen.
Hier fassen wir einige wichtige Empfehlungen zur Passwortwahl zusammen:
1) starke Passwörter wählen
- zwölf oder mehr Zeichen
- je wichtiger das Passwort, desto länger
- sowohl Klein- als auch Großbuchstaben, Ziffern und Satzzeichen verwenden
2) Passwörter niemals doppelt verwenden
3) Passwort-Safe zur Speicherung der Passwörter verwenden
4) Passwort nicht weitergeben und unverschlüsselt versenden
5) Standard-Passwörter bei Inbetriebnahme von Geräten sofort ändern
7) Zwei-Faktor-Authentifizierung nutzen
Dabei wird ein zweiter Faktor (z.B. 2. Passwort) auf einem anderen Kommunikationsweg übertragen, so dass ein besserer Schutz vor Angriffen gegeben ist.
8) Passwörter NICHT in regelmäßigen Abständen ändern
Die Empfehlung Passwörter in regelmäßigen Abständen zu ändern, gilt als überholt. Diese Maßnahme führt nicht zu mehr Sicherheit, sondern in Regel zur Vereinfachung der vergebenen Passwörter durch den Nutzer. Daher soll die Passwortrichtlinie nicht mehr den Nutzer auffordern Passwörter in regelmäßigen Abständen zu ändern. Nur bei Anzeichen einer Kompromittierung sollten Nutzer Passwörter ändern bzw. zu einer Änderung aufgefordert werden.
Demnach sollten in die Passwortrichtlinie folgende Hinweise eingebunden sein:
1) Keine regelmäßige Änderung der Passwörter erzwingen.
2) ggf. Account-Sperrung nach mehreren fehlgeschlagenen Anmeldeversuchen je nach Umgebung.
3) Passwörter auf keinen Fall im Klartext speichern, sondern mit modernen Verfahren wie z.B. Argon2. In der Regel sollten dafür existierende Software-Bibliotheken und etablierte Verfahren zur Speicherung verwendet werden.
4) Besonders gesicherte Speicherung von Passwort-Datenbanken mit möglichst eingeschränkten Zugriffsrechten für nur ausgewählte Mitarbeiter ist zwingend erforderlich.
5) Implementation einer Zwei-Faktor-Authentifizierung soweit möglich. Zur Zwei-Faktor-Authentifizierung sollten etablierte Standards wie RFC 6238 oder Time-based One-time Password Algorithmus (TOTP) genutzt werden.
6) Änderung vorangestellter Passwörter erzwingen.
7) Fehlgeschlagene Anmeldeversuche sollten protokolliert und regelmäßig analysiert werden, da sie ein Zeichen für ein Eindringversuch sein könnten.
8) Keine fremden Passwörter sammeln. Online-Dienst-Anbieter dürfen grundsätzlich keine fremden Passwörter verarbeiten. Geräte, die sich z.B. in lokalen WLAN-Netzen anmelden, dürfen die Zugangsdaten zu diesen auf keinen Fall an den Hersteller oder Dritte übertragen, weder im Klartext noch in sonstiger Form.
Weitere Informationen zum Thema Passwortvergabe finden Sie z.B. hier:
3) aktuelle BSI Richtlinie 2019:
ORP.4: 3.1 Basis Anforderungen
ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, Leiter IT]: