Sie suchen passende Fundstellen zu einem Thema? Senden Sie uns eine E-Mail an Mail@CycleSEC.com und schlagen Sie ein Thema vor. Wir veröffentlichen jeden Monat ein CycleSEC Quellenstudium, dass zitierfähige Quellen auflistet, die Sie für Ihre Arbeit nutzen können.

Wir unterscheiden in unserem CycleSEC Quellenstudium drei verschiedene Kategorien von Quellen:

1. Need to know (ISO/IEC 27000-Familie, BSI IT-Grundschutz)
2. Nice to know (ENISA, SANS, OWASP, etc.)
3. Auch interessant (Bloger, Websites, spannende Artikel)

In unserem ersten CycleSEC Quellenstudium stellen wir aktuelle Fundstellen zum Thema Passwortsicherheit zusammen:

Need to know:

ISO/IEC 27001-Familie

ISO/IEC 27001 geht nur in Control A.9.4.3 (Password management system) auf den Umgang mit Passworten ein. Sie gehören zu den in Control  A.9.2.4 (Management of secret authentication information of users) erwähnten „Secret Authentication Information“. In der deutschen Übersetzung heißen diese „geheime Authentisierungsinformation“.

Etwas mehr Informationen findet man in ISO/IEC 27002 zur Umsetzung von Control A.9.4.3. Demnach sollen Passwörter zunächst individualisiert und durch den User änderbar sein. Zusätzlich wird gefordert:

• Erzwingung starker Passworte
• Änderung nach der ersten Anmeldung
• Verbot der Wiederverwendung
• Erzwungene Passwortänderungen
• Verdeckte Anzeige ******
• Von den Anwendungsdaten getrennte Speicherung
• Geschützte Übertragung

Annex A der ISO/IEC 27033-3 enthält ein Beispiel einer Internet Use Policy, die weitere, beispielhafte Anforderungen nennt:

• Keine gemeinsame Nutzung
• Passwortsicherheit ist in User-Verantwortung
• Systempassworte sollen quartalsweise, Userpassworte halbjährlich gewechselt werden

BSI IT-Grundschutz

Der BSI IT-Grundschutz geht umfangreich auf das Thema Passwortsicherheit ein und bietet eine ganze Reihe von Fundstellen:

• Allgemein
  • ORP.4.A8 Regelung des Passwortgebrauchs (ehemals: Maßnahme 2.11 Regelung des Passwortgebrauchs)
  • Maßnahme 2.22 Hinterlegen des Passwortes (im GS-Kompendium entfallen)
• Windows
  • Maßnahme 4.48 Passwortschutz unter Windows-Systemen
• IT-Systeme allgemein
  • Maßnahme 4.1 Passwortschutz für IT-Systeme
• Unix
  • Maßnahme 4.14 Obligatorischer Passwortschutz unter Unix
• MacOS
  • Maßnahme 4.376 Festlegung von Passwortrichtlinien unter Mac OS X
• Passwort-Safes
  • Maßnahme 4.306 Umgang mit Passwort-Speicher-Tools

Nice to know:

BSI für Bürger

Das BSI für Bürger unterstützt bei der

• Wahl der richtigen Passwörter.

ENISA

Auch die europäische Sicherheitsagentur ENISA gibt Hilfestellungen zur

• Formulierung einer Password Policy.

SANS

Das SANS Institut veröffentlicht die

• Password Construction Guidelines.

OWASP

Auch das OWASP gibt in mehreren Cheat Sheets Hilfestellung zu sicheren Passwortrichtlinien:

• Authentication Cheat Sheet
• Password Storage Cheat Sheet
• Forgot Password Cheat Sheet

Auch interessant:

Brian Krebs:

Blogger Brian Krebs nennt schließlich die

• Password Do’s and Don’ts

Alsbih-Podcast

Dr. Amir Alsbih und unser CTO Prof. Dr. Sebastian Schinzel sprechen über Alternativen zu Passwörtern.

• Warum Passwörter alleine nicht mehr funktionieren?

Zusammenfassung

Alles in allem also eine ganz gute Quellenlage, die jedoch nicht die spannendste Frage beantwortet. Welche der Maßnahmen zur Erzeugung und zum Schutz sicherer Passworte angemessen sind, hängt letztlich von der zu Grunde liegenden Risikoanalyse ab.

Alle Beiträge aus der Reihe

• CycleSEC Quellenstudium #01: Passwortsicherheit
• CycleSEC Quellenstudium #02: Need-to-know-Prinzip

---

Sie kennen weitere Quellen? Nutzen Sie die Kommentarfunktion und teilen Sie Ihr Wissen mit anderen Security-Professionals.