search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Beispiel für eine effektive Passwortpolitik in 10 Tipps

Beispiel für eine effektive Passwortpolitik in 10 Tipps

Von Jennifer Montérémal

Am 28. Oktober 2024

Hat Ihre Organisation bereits eine Passwortrichtlinie eingeführt?

Man könnte meinen, dass die Generierung starker Passwörter (Länge, Groß- und Kleinbuchstaben, Zahlen usw.) ausreicht, um den Zugriff auf die verschiedenen Konten und Daten Ihrer Organisation zu schützen. Aber auch wenn dies ein guter Anfang ist, empfiehlt es sich, noch weiter zu gehen. Dies gilt umso mehr in einem Arbeitsumfeld, das von Tag zu Tag komplexer wird und in dem es immer mehr Arbeitsmittel gibt.

Eine gute Passwortpolitik umfasst daher eine Reihe von Regeln, die beachtet werden sollten, um ein optimales Sicherheitsniveau zu gewährleisten. Gleichzeitig muss sie die Benutzerfreundlichkeit berücksichtigen.

Möchten Sie ein Beispiel für eine effektive Passwortrichtlinie kennenlernen? Lesen Sie diesen Artikel und lassen Sie sich von unseren 10 Tipps inspirieren.

Was ist eine Passwortrichtlinie in Unternehmen?

Passwortrichtlinie: Definition

Eine Passwortrichtlinie ist eine Richtlinie, die in einem Unternehmen, in der Regel von der IT-Abteilung, eingeführt wird, um festzulegen, wie :

  • wie sie erstellt werden,
  • aber auch verwendet werden,

die verschiedenen Passwörter der Mitarbeiter verwendet werden.

Ziel ist es, die Sicherheit des Zugriffs auf die verschiedenen Tools und Informationen des Unternehmens zu erhöhen.

☝️ Ihre Passwortpolitik kann nur dann erfolgreich sein, wenn sie gegenüber den Mitarbeitern vollständig klargestellt wird und vollständig in die allgemeine Sicherheitsstrategie des Unternehmens integriert ist.

Beispiel für eine Passwortrichtlinie.

Die Passwortrichtlinie der ANSSI.

Eine der Referenzen in Sachen Passwortpolitik bleibt die ANSSI.

Auf ihrer Website können Sie ein Dokument herunterladen, das alle ihre Empfehlungen zur Passwortsicherheit enthält.

Wir werden einige der Ratschläge der Agence nationale de la sécurité des systèmes d'information übernehmen, insbesondere diejenigen, die sich auf die Erstellung starker Passwörter beziehen.

Passwortrichtlinien für Active Directory

Ein weiteres Beispiel ist die Passwortrichtlinie für das Active Directory.

Viele Organisationen, die in einer Microsoft-Umgebung arbeiten, nutzen diese Struktur, um die Identifizierung und Authentifizierung ihrer Computernetzwerke zentral zu verwalten.

In diesem Fall werden die verschiedenen Regeln eingesetzt:

  • Entweder über GPOs (Gruppenrichtlinienobjekte): Es gibt nur eine einzige Passwortrichtlinie, die für alle Mitarbeiter gilt, die in derselben Domäne arbeiten;
  • oder über FGPPs (granulare Passwortrichtlinien): Sie ermöglichen im Gegensatz dazu die Entwicklung unterschiedlicher Richtlinien für Benutzer in derselben Domäne. Wir werden später auf diesen Punkt zurückkommen.

In diesem Artikel halten wir es einfach und konzentrieren uns auf die wichtigsten Best Practices, die Sie befolgen sollten und die aus den Empfehlungen verschiedener Referenzorganisationen stammen (Passwortpolitik der CNIL, der ANSSI usw.).

Tipp 1: Erstellen Sie ein komplexes und sicheres Passwort.

Was ist ein komplexes Passwort?

Die Erstellung eines komplexen Passworts folgt einer Reihe von Regeln. Auf diese Weise wird es sich als schwer zu umgehen erweisen, selbst für Hacker mit automatisierten Werkzeugen.

💡 Durch die Verwendung eines starken Passworts sind Sie besser geschützt:

  • Brute-Force-Angriffe, bei denen verschiedene Kombinationen getestet werden, bis die richtige gefunden wird ;
  • oder vor Wörterbuchangriffen (Ausprobieren aller Wörter, die im Wörterbuch stehen).

Zusammensetzung eines komplexen Passworts :

Es muss enthalten :

  • mindestens 8 Zeichen. Die ANSSI empfiehlt sogar eine Mindestlänge von 12 Zeichen,
  • Sonderzeichen wie Satzzeichen,
  • Zahlen,
  • Groß- und Kleinbuchstaben enthalten.

Außerdem sollten Sie keine Wörter aus dem Wörterbuch oder Eigennamen verwenden, da diese viel zu anfällig für die von Hackern eingesetzten Technologien sind.

Vermeiden Sie Datumsangaben oder Elemente, die sich auf persönliche Informationen beziehen (z. B. Ihr Geburtsdatum).

Beispiel für ein starkes Passwort: Lm%zeR5aa9m $.

Wie erstelle ich ein sicheres Passwort?

Es gibt verschiedene Möglichkeiten, dies zu tun. Denken Sie aber daran, dass das perfekte Passwort stark sein muss ... aber auch leicht zu merken! Andernfalls könnte der Benutzer ein Verhalten an den Tag legen, das seine Sicherheit gefährdet, wie z. B. das Aufschreiben auf einem Zettel oder in einer Computerdatei.

Auch wenn Sie also einen Generator für komplexe Passwörter verwenden können, sollten Sie eine Methode bevorzugen, bei der Sie sich das Passwort leicht merken können.

💡 Hier ist eine solche, die von der ANSSI empfohlen wird:

  • Wählen Sie einen Satz, der lang genug ist und Zahlen, Ziffern und idealerweise Sonderzeichen enthält (ein Zitat, ein Sprichwort, der Auszug aus einem Lied usw.). Beispiel:

Es ist besser, der Mann eines einzigen Meisters zu sein als der Mann von zehn Büchern
  • Behalten Sie die Anfangsbuchstaben, Zahlen und Sonderzeichen bei. Sie können auch Großbuchstaben hinzufügen, um die Sicherheit zu erhöhen :
Mvel'Hd'1smql'Hd10l

Weitere Methoden, um einprägsame Passwörter zu generieren, finden Sie in unserem speziellen Artikel.

Tipp 2: Erneuern Sie Ihre Passwörter regelmäßig.

Auch ein starkes Passwort kann mit der Zeit kompromittiert werden. Daher empfehlen wir Ihnen, es regelmäßig zu ändern. Die ANSSI empfiehlt sogar eine Erneuerung alle 90 Tage.

Andererseits wird dringend empfohlen, Ihr Passwort zu ändern, wenn Sie den geringsten Verdacht auf eine Sicherheitslücke haben. Dies kann der Fall sein, wenn Sie erfahren, dass eine der Firmen, bei denen Sie ein Konto haben, gehackt wurde.

☝️ Achtung: Wenn die Gültigkeitszeiträume zu kurz sind, ist der Benutzer versucht, schwächere oder ähnliche Passwörter zu verwenden, um sich diese leichter merken zu können.

Aus diesem Grund sollte ein Kompromiss gefunden werden. Eine Active Directory-Passwortrichtlinie macht es beispielsweise möglich, je nach Profil unterschiedliche Regeln anzuwenden. In diesem Rahmen kann der Administrator eine häufigere Erneuerung für Benutzer verlangen, die häufiger mit sensiblen Unternehmensdaten in Kontakt kommen (und wissen, was auf dem Spiel steht), wie z. B. Mitglieder der Geschäftsleitung.

Tipp 3: Passwörter geheim halten

Um Ihre Passwörter und damit den Zugang zu Ihren Informationssystemen zu schützen, muss die absolute Vertraulichkeit gewährleistet sein.

Hier sind 8 Regeln, die Sie in diesem Sinne beachten sollten:

  1. Teilen Sie Ihr Passwort niemals mit anderen, auch nicht mit einem Administrator oder Vorgesetzten.
  2. Bitten Sie keine dritte Person, ein Passwort für Sie zu generieren.
  3. Ändern Sie bei der ersten Anmeldung das Passwort, das Ihnen von den Administratoren des Unternehmens als Standardpasswort zugewiesen wurde.
  4. Geben Sie Ihr Passwort niemals per E-Mail, Telefon oder SMS bekannt.
  5. Schreiben Sie Ihre Zugangsdaten nicht auf Papier auf.
  6. Sie sollten sie auch nicht in einer Computerdatei(z. B. Excel) speichern.
  7. Verwenden Sie nie ein Passwort, das Sie schon einmal verwendet haben, wenn Sie es erneuern.
  8. Wenn Sie über eine gemeinsame Verbindung (z. B. WLAN in einem Hotel) gehen, surfen Sie privat oder verwenden Sie ein VPN. Auf diese Weise schränken Sie die Spuren ein, die Sie hinterlassen.

Tipp 4: Verwenden Sie unterschiedliche Passwörter für verschiedene Dienste.

Wir empfehlen Ihnen, nicht das gleiche Passwort für verschiedene Dienste zu verwenden (z. B. ähnliche Logins für berufliche und private E-Mails).

Wenn ein Hackerversuch erfolgreich ist, kann er das Passwort automatisch ausprobieren, um auf verschiedene Websites und Arbeitsmittel zuzugreifen. Und so kann ein großer Teil des Informationssystems Ihres Unternehmens gefährdet werden!

Tipp 5: Verwalten Sie das An- und Abmelden bei verschiedenen Diensten umsichtig.

Hier sind drei Gebote, die Sie befolgen sollten:

  1. Melden Sie sich systematisch ab, wenn Sie einen Dienst verlassen.
  2. Konfigurieren Sie Ihre Software und Webbrowser so, dass sie sich nicht an Ihre Passwörter erinnern. Wenn eine böswillige Person sonst die Kontrolle über Ihre Sitzung übernimmt, hat sie sehr leicht Zugang zu all Ihren Anmeldedaten.
  3. Programmieren Sie Ihren Computer so, dass er nach einer bestimmten Zeit der Inaktivität in den Standby-Modus wechselt. So schützen Sie ihn vor böswilligen Blicken, wenn Sie kurz weggehen müssen.

Tipp 6: Aktivieren Sie die doppelte Authentifizierung, wenn möglich.

Einige Dienste bieten eine doppelte Authentifizierung oder starke Authentifizierung an.

Diese Technologie beinhaltet mindestens zwei Verfahren unterschiedlicher Art, um sich anzumelden. Zum Beispiel:

  • Einen erinnerungsbasierten Authentifizierungsfaktor, wie das traditionelle Paar Benutzername/Passwort,
  • und einen materiellen Faktor, wie ein Mobiltelefon, mit dem Sie per SMS einen vorläufigen Code erhalten.

💡Es gibt auch biometrische Faktoren, die sich auf eine Person beziehen, wie zum Beispiel den Fingerabdruck.

Die Methode der starken Authentifizierung ist für viele Dienste verfügbar, z. B. Google Workspace.

Tipp 7: Sensibilisierung der Mitarbeiter

Natürlich erweist sich die Passwortpolitik eines Unternehmens nur dann als wirksam, wenn ein echter Sensibilisierungsprozess bei den Mitarbeitern durchgeführt wird.

Es ist daher empfehlenswert, die Nutzer zu informieren über :

  • über die Risiken,
  • über ihre Tragweite (nicht alle sind sich bewusst, dass das gesamte Informationssystem des Unternehmens gefährdet sein kann, wenn ihr Computer verwundbar ist),
  • an die guten Praktiken, die sie anwenden sollten.

Tipp 8: Kontrollen und Audits durchführen

Auf der Seite des Administrators sollten Sie regelmäßige Kontrollen und Audits durchführen, um :

  • die Robustheit der von den Mitarbeitern verwendeten Passwörter zu überprüfen,
  • alle anderen Sicherheitslücken zu entdecken,
  • einen "unvorsichtigen" Mitarbeiter zu kontaktieren, damit dieser Korrekturmaßnahmen einleitet.

💡 Diese Überprüfungen können über eine ethische Hackerfirma durchgeführt werden, deren Aufgabe es ist, Sicherheitslücken in Unternehmen zu identifizieren.

Es ist aber auch möglich, intern vorzugehen. Wie wir später sehen werden, erstellt manche Software eine Bestandsaufnahme der von den Mitarbeitern verwendeten Passwörter (sind sie schwach? doppelt vorhanden? werden sie für verschiedene Konten verwendet?). Ab diesem Zeitpunkt ist der Administrator in der Lage, den Mitarbeiter aufzusuchen, um ihn zu sensibilisieren und ihm Verbesserungsmöglichkeiten vorzuschlagen.

Tipp 9: Verwenden Sie Tools zur Verwaltung von Passwortrichtlinien.

Es gibt Tools, die den Einsatz einer Passwortrichtlinie im Unternehmen unterstützen (nicht zu verwechseln mit einem Passwortmanager).

Zu diesen Lösungen gehört Specops Password Policy, das die Besonderheit hat, Organisationen zu unterstützen, die über das Active Directory operieren. Mithilfe dieser Software können Sie :

  • stellen Sie sicher, dass die im Unternehmen verwendeten Passwortrichtlinien den Sicherheitsempfehlungen entsprechen (Zusammensetzung, Länge des Passworts, kurze Lebensdauer usw.) ;
  • blockieren Sie schwache und kompromittierte Passwörter mit einer Liste von über 2 Milliarden Passwörtern ;
  • führen Sie Audits durch, um unsichere Passwörter aufzuspüren, und richten Sie daher Nachrichten an die Nutzer, damit sie gute Praktiken anwenden.

Tipp 10: Verwenden Sie einen Passwortmanager.

Sich alle seine verschiedenen Passwörter zu merken (die, wie wir uns erinnern, einmalig sein müssen), kann sehr mühsam sein - wenn nicht sogar unmöglich. Das menschliche Gehirn ist dafür nicht kalibriert.

Das führt dazu, dass Benutzer oft zu gefährlichen Methoden greifen (z. B. indem sie ihre Kennwörter in einer Datei festhalten).

Aus diesem Grund wird empfohlen, einen Passwortmanager wie LockPass zu verwenden. Mit dieser Software, die zu 100 % aus Frankreich stammt und vom ANSSI zertifiziert wurde, können Sie von zahlreichen Vorteilen profitieren:

  • Nur das Merken eines Master-Passworts ist erforderlich, um auf alle Logins zuzugreifen. Die Benutzer können sich über ein Browser-Plug-in direkt in ihre verschiedenen Konten einloggen, ohne jedes Mal ihre Passwörter eingeben zu müssen;
  • Parallel dazu legen die Administratoren eine Passwortrichtlinie für die gesamte Organisation oder auf Makroebene (für Teams, die mit sensiblen Daten arbeiten) fest.die z. B. mit sensiblen Daten umgehen), um sicherzustellen, dass jedes dem Tresor hinzugefügte Passwort den vordefinierten Kriterien entspricht. Eine Echtzeit-Kartografie aller Logins im Unternehmen ermöglicht es ihnen, die Einhaltung der festgelegten Regeln zu überwachen.

Es gibt also zahlreiche Lösungen auf dem Markt, die es Ihnen erleichtern, eine effektive Passwortpolitik in Ihrem Unternehmen umzusetzen - ohne dabei die Benutzerfreundlichkeit zu beeinträchtigen.

Artikel übersetzt aus dem Französischen