CycleSEC Quellenstudium #01: Passwortsicherheit

Sie suchen passende Fundstellen zu einem Thema? Senden Sie uns eine E-Mail an Mail@CycleSEC.com und schlagen Sie ein Thema vor. Wir veröffentlichen jeden Monat ein CycleSEC Quellenstudium, dass zitierfähige Quellen auflistet, die Sie für Ihre Arbeit nutzen können.

Trenner-CycleSEC-Logos-Transparent

Wir unterscheiden in unserem CycleSEC Quellenstudium drei verschiedene Kategorien von Quellen:

  1. Need to know (ISO/IEC 27000-Familie, BSI IT-Grundschutz)
  2. Nice to know (ENISA, SANS, OWASP, etc.)
  3. Auch interessant (Bloger, Websites, spannende Artikel)

In unserem ersten CycleSEC Quellenstudium stellen wir aktuelle Fundstellen zum Thema Passwortsicherheit zusammen:

Trenner-CycleSEC-Logos-TransparentNeed to know:

ISO/IEC 27001-Familie

ISO/IEC 27001 geht nur in Control A.9.4.3 (Password management system) auf den Umgang mit Passworten ein. Sie gehören zu den in Control  A.9.2.4 (Management of secret authentication information of users) erwähnten „Secret Authentication Information“. In der deutschen Übersetzung heißen diese „geheime Authentisierungsinformation“.

Etwas mehr Informationen findet man in ISO/IEC 27002 zur Umsetzung von Control A.9.4.3. Demnach sollen Passwörter zunächst individualisiert und durch den User änderbar sein. Zusätzlich wird gefordert:

  • Erzwingung starker Passworte
  • Änderung nach der ersten Anmeldung
  • Verbot der Wiederverwendung
  • Erzwungene Passwortänderungen
  • Verdeckte Anzeige ******
  • Von den Anwendungsdaten getrennte Speicherung
  • Geschützte Übertragung

Annex A der ISO/IEC 27033-3 enthält ein Beispiel einer Internet Use Policy, die weitere, beispielhafte Anforderungen nennt:

  • Keine gemeinsame Nutzung
  • Passwortsicherheit ist in User-Verantwortung
  • Systempassworte sollen quartalsweise, Userpassworte halbjährlich gewechselt werden

BSI IT-Grundschutz

Der BSI IT-Grundschutz geht umfangreich auf das Thema Passwortsicherheit ein und bietet eine ganze Reihe von Fundstellen:

Trenner-CycleSEC-Logos-TransparentNice to know:

BSI für Bürger

Das BSI für Bürger unterstützt bei der

ENISA

Auch die europäische Sicherheitsagentur ENISA gibt Hilfestellungen zur

SANS

Das SANS Institut veröffentlicht die

OWASP

Auch das OWASP gibt in mehreren Cheat Sheets Hilfestellung zu sicheren Passwortrichtlinien:

Trenner-CycleSEC-Logos-TransparentAuch interessant:

Brian Krebs:

Blogger Brian Krebs nennt schließlich die

Alsbih-Podcast

Dr. Amir Alsbih und unser CTO Prof. Dr. Sebastian Schinzel sprechen über Alternativen zu Passwörtern.

Zusammenfassung

Alles in allem also eine ganz gute Quellenlage, die jedoch nicht die spannendste Frage beantwortet. Welche der Maßnahmen zur Erzeugung und zum Schutz sicherer Passworte angemessen sind, hängt letztlich von der zu Grunde liegenden Risikoanalyse ab.

Alle Beiträge aus der Reihe


Sie kennen weitere Quellen? Nutzen Sie die Kommentarfunktion und teilen Sie Ihr Wissen mit anderen Security-Professionals.

Ein Gedanke zu „CycleSEC Quellenstudium #01: Passwortsicherheit“

Schreibe einen Kommentar