Schrift vergrößern Schrift verkleinernBarrierefreie Version
Suche | English



I.31 Passwörter

Verantwortlich für Initiierung: IT-Beauftragter
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

Werden in einem IT-System Passwörter zur Authentisierung gebraucht, so ist die Sicher-heit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon ab-hängig, dass das Passwort korrekt gebraucht wird. Der Benutzer hat sein Passwort ge-heim zu halten. Idealerweise sollte das Passwort nicht notiert werden.
Für die Wahl von Passwörtern werden folgende Regeln dringend empfohlen:


  • Das Passwort darf nicht leicht zu erraten sein wie Namen, Kfz-Kennzeichen, Geburtsdaten.

  • Das Passwort muss mindestens einen Groß- und Kleinbuchstaben und mindestens eine Ziffer und mindestens ein Sonderzeichen enthalten.

  • Das Passwort sollte mindestens 8 Zeichen lang sein. Es muss getestet werden, wie viele Stellen des Passwortes vom Rechner überprüft werden.

  • Voreingestellte Passwörter (z. B. des Herstellers bei Auslieferung von Systemen) müssen durch individuelle Passwörter ersetzt werden.

  • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.

  • Das Passwort muss geheim gehalten werden und sollte nur dem Benutzer persönlich bekannt sein.

  • Das Passwort sollte nur für die Hinterlegung schriftlich fixiert werden, wobei es dann in einem verschlossenen Umschlag sicher aufbewahrt wird. Wird es darüber hinaus aufgeschrieben, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren.

  • Das Passwort ist regelmäßig, spätestens nach 360 Tagen, zu wechseln und sollte eine Mindestgültigkeitsdauer von einem Tag haben.

  • Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist.

  • Alte Passwörter dürfen nach einem Passwortwechsel nicht mehr gebraucht werden.

  • Die Eingabe des Passwortes muss unbeobachtet stattfinden.



Falls technisch möglich, sollten folgende Randbedingungen eingehalten werden:


  • Die Wahl von Trivialpasswörtern ("BBBBBB", "123456") sollte verhindert werden.

  • Jeder Benutzer muss sein eigenes Passwort jederzeit ändern können.

  • Für die Erstanmeldung neuer Benutzer sollten Einmalpasswörter vergeben werden, also Passwörter, die nach einmaligem Gebrauch gewechselt werden müssen. In Netzen, in denen Passwörter unverschlüsselt übertragen werden, empfiehlt sich die dauerhafte Verwendung von Einmalpasswörtern.

  • Nach dreifacher fehlerhafter Passworteingabe muss eine Sperrung erfolgen, die nur vom Systemadministrator aufgehoben werden kann.

  • Bei der Authentisierung in vernetzten Systemen sollten Passwörter nicht unverschlüsselt übertragen werden.

  • Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.

  • Die Passwörter sollten im System zugriffssicher gespeichert werden, z. B. mittels Einwegverschlüsselung.

  • Der Passwortwechsel sollte vom System regelmäßig initiiert werden.

  • Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden (Passwort-Historie).



Auf die Einhaltung der Regeln ist insbesondere zu achten, wenn das System diese nicht erzwingt.




Kommentare und Anmerkungen

Bisher keine






Universität Göttingen