Kennwortrichtlinie

Typische Komponenten einer Kennwortrichtlinie sind:

Kennwortlänge und -formationbearbeiten

Siehe auch: Kennwortstärke

Viele Richtlinien erfordern eine Mindestkennwortlänge. Acht Zeichen sind typisch, aber möglicherweise nicht angemessen. Längere Kennwörter sind im Allgemeinen sicherer, aber einige Systeme legen eine maximale Länge für die Kompatibilität mit älteren Systemen fest.

Einige Richtlinien legen Anforderungen für die Art des Kennworts fest, das ein Benutzer auswählen kann, z:

  • die Verwendung von Groß- und Kleinbuchstaben (Groß- und Kleinschreibung)
  • Aufnahme einer oder mehrerer numerischer Ziffern
  • Aufnahme von Sonderzeichen wie @, #, $
  • verbot von Wörtern, die in einer Passwort-Sperrliste gefunden wurden
  • Verbot von Wörtern, die in den persönlichen Daten des Benutzers gefunden wurden
  • Verbot der Verwendung von Firmennamen oder einer Abkürzung
  • Verbot von Passwörtern, die dem Format von Kalenderdaten, Nummernschildern, Telefonnummern oder anderen gebräuchlichen Nummern entsprechen

Andere Systeme initial Passwort für den Benutzer; aber erfordern dann zu einem ihrer eigenen Wahl innerhalb eines kurzen Intervalls zu ändern.

Passwort-Sperrlisteedit

Passwort-Sperrlisten sind Listen von Passwörtern, die immer für die Verwendung gesperrt sind. Sperrlisten enthalten Kennwörter, die aus Zeichenkombinationen bestehen, die ansonsten den Unternehmensrichtlinien entsprechen, aber nicht mehr verwendet werden sollten, da sie aus einem oder mehreren Gründen als unsicher eingestuft wurden, z. B. weil sie leicht zu erraten sind, einem gemeinsamen Muster folgen oder aufgrund früherer Datenschutzverletzungen öffentlich zugänglich gemacht wurden. Gängige Beispiele sind Password1, Qwerty123 oder Qaz123wsx.

Kennwortdauer

Einige Richtlinien verlangen, dass Benutzer Kennwörter regelmäßig ändern, häufig alle 90 oder 180 Tage. Der Vorteil des Passwortablaufs ist jedoch umstritten. Systeme, die solche Richtlinien implementieren, verhindern manchmal, dass Benutzer ein Kennwort auswählen, das einer vorherigen Auswahl zu nahe kommt.

Diese Richtlinie kann oft nach hinten losgehen. Einige Benutzer finden es schwierig, „gute“ Passwörter zu entwickeln, die auch leicht zu merken sind, also wenn Leute viele Passwörter wählen müssen, weil sie sie oft ändern müssen, verwenden sie am Ende viel schwächere Passwörter; Die Richtlinie ermutigt Benutzer auch, Passwörter aufzuschreiben. Wenn die Richtlinie verhindert, dass ein Benutzer ein aktuelles Kennwort wiederholt, muss eine Datenbank mit den letzten Kennwörtern (oder deren Hashes) aller Benutzer vorhanden sein, anstatt die alten Kennwörter aus dem Speicher löschen zu lassen. Schließlich können Benutzer ihr Kennwort innerhalb weniger Minuten wiederholt ändern und dann wieder zu dem Kennwort zurückkehren, das sie wirklich verwenden möchten, wodurch die Kennwortänderungsrichtlinie insgesamt umgangen wird.

Die menschlichen Aspekte von Passwörtern müssen ebenfalls berücksichtigt werden. Im Gegensatz zu Computern können menschliche Benutzer keinen Speicher löschen und durch einen anderen ersetzen. Folglich ist das häufige Ändern eines gespeicherten Passworts eine Belastung für das menschliche Gedächtnis, und die meisten Benutzer greifen auf die Wahl eines Passworts zurück, das relativ leicht zu erraten ist (siehe Passwortmüdigkeit). Benutzern wird häufig empfohlen, mnemonische Geräte zu verwenden, um sich komplexe Kennwörter zu merken. Wenn das Passwort jedoch wiederholt geändert werden muss, sind Mnemotechniken nutzlos, da sich der Benutzer nicht daran erinnern kann, welche Mnemotechnik verwendet werden soll. Darüber hinaus erleichtert die Verwendung von Mnemonik (die zu Passwörtern wie „2BOrNot2B“ führt) das Erraten des Passworts.

Verwaltungsfaktoren können ebenfalls ein Problem darstellen. Benutzer haben manchmal ältere Geräte, für die ein Kennwort erforderlich ist, das vor Ablauf der Kennwortdauer verwendet wurde. Um diese älteren Geräte zu verwalten, müssen Benutzer möglicherweise alle alten Kennwörter aufschreiben, falls sie sich bei einem älteren Gerät anmelden müssen.

Es ist oft besser, ein sehr sicheres Passwort zu benötigen und es nicht ändern zu müssen. Dieser Ansatz hat jedoch einen großen Nachteil: Wenn eine unbefugte Person ein Passwort erwirbt und es verwendet, ohne entdeckt zu werden, kann diese Person auf unbestimmte Zeit Zugriff haben.

Es ist notwendig, diese Faktoren abzuwägen: die Wahrscheinlichkeit, dass jemand ein Passwort errät, weil es schwach ist, im Vergleich zur Wahrscheinlichkeit, dass es jemandem gelingt, ein stärkeres Passwort zu stehlen oder auf andere Weise zu erwerben, ohne es zu erraten.

Bruce Schneier argumentiert, dass „so ziemlich alles, woran man sich erinnern kann, geknackt werden kann“, und empfiehlt ein Schema, das Passwörter verwendet, die in keinem Wörterbuch erscheinen.

SanctionEdit

Kennwortrichtlinien können schrittweise Sanktionen enthalten, die mit Warnungen beginnen und mit dem möglichen Verlust von Computerberechtigungen oder der Beendigung von Aufträgen enden. Wenn Vertraulichkeit gesetzlich vorgeschrieben ist, z. bei Verschlusssachen kann ein Verstoß gegen die Kennwortrichtlinie eine Straftat darstellen. Einige halten eine überzeugende Erklärung der Bedeutung der Sicherheit für wirksamer als die Androhung von Sanktionen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.