Was ist eine Passwortrichtlinie und wie erstellt man eine?

Kompromittierte Passwörter sind ein Hauptgrund für Datenschutzverletzungen. Tatsächlich werden mehr als 80 % der Hackerangriffe durch passwortbezogene Probleme verursacht. Eine Richtlinie für sichere Passwörter kann dazu beitragen, dass jeder in Ihrem Unternehmen sichere Passwörter verwendet.

Was ist also eine Passwortrichtlinie? Wie können Sie eine Standard-Passwortrichtlinie erstellen? Und was sind Best Practices für Passwortrichtlinien? Finden wir es unten heraus.

Was ist eine Passwortrichtlinie?

Eine Passwortrichtlinie ist eine Reihe von Richtlinien, die jeden in einem Unternehmen dazu bringen sollen, ein starkes Passwort zu erstellen und es richtig zu verwenden, um die Computer- und Online-Sicherheit zu verbessern.

Eine Standardkennwortrichtlinie enthält, was Benutzer beim Erstellen, Ändern, Speichern oder Teilen von Kennwörtern beachten und vermeiden sollten.

Beispielsweise kann Ihre Kennwortrichtlinie vorschreiben, dass Benutzer längere Kennwörter erstellen müssen, einschließlich einer bestimmten Anzahl von Sonderzeichen.

Abhängig von den Anforderungen Ihrer Organisation können Sie Ihre Kennwortrichtlinie als beratend oder obligatorisch festlegen.

Warum sind Passwortrichtlinien wichtig?

Eine Kennwortrichtlinie kann Ihnen dabei helfen, die Verwendung starker, eindeutiger Kennwörter in Ihrem Unternehmen durchzusetzen, um die Kennwortsicherheit zu verbessern.

Hier sind die wichtigsten Gründe, warum die Implementierung einer starken Kennwortsicherheitsrichtlinie für Ihr Unternehmen von entscheidender Bedeutung ist:

• Die Wiederverwendung von Passwörtern ist ein Sicherheitsfehler. Eine Passwortrichtlinie kann die Wiederverwendung von Passwörtern schnell ausschließen
• Eine starke Passwortrichtlinie mit einer Klausel zur Multi-Faktor-Authentifizierung hilft Ihnen, verschiedene Sicherheitsrisiken weitgehend zu minimieren
• Jeder in Ihrem Unternehmen beginnt damit, komplexe Passwörter zu erstellen und sicher zu speichern. Dadurch sind Ihre Passwörter sicher vor Brute-Force-Angriffen und anderen passwortbezogenen Angriffen
• Eine starke Passwortrichtlinie signalisiert Ihren Kunden und Lieferanten, dass Sie strenge Maßnahmen zum Schutz von Passwörtern ergreifen. Dies kann helfen, Vertrauen zu ihnen aufzubauen

Nicht zuletzt kultiviert eine Passwortrichtlinie eine Cybersicherheitskultur, die in der heutigen Welt von größter Bedeutung ist, da kleine Unternehmen zunehmend zum Ziel verschiedener Arten von Cybersicherheitsangriffen werden.

So erstellen Sie eine Standardkennwortrichtlinie

Im Folgenden finden Sie eine Schritt-für-Schritt-Anleitung zum Erstellen einer Richtlinie für sichere Kennwörter:

1. Legen Sie Anforderungen für die Kennwortkomplexität fest

Systemadministratoren oder IT-Abteilungen sollten Richtlinien zur Kennwortkomplexität festlegen, um eine starke Kennworterstellung zu gewährleisten.

Hier sind grundlegende Passwortanforderungen, die Sie in Ihre Passwortrichtlinie aufnehmen müssen, um Benutzern dabei zu helfen, das Erstellen schwacher Passwörter zu vermeiden:

• Passwörter sollten mindestens zehn Zeichen lang sein (länger ist besser)
• Benutzer müssen in Kennwörtern Großbuchstaben, Kleinbuchstaben und Sonderzeichen verwenden
• Das Einfügen falsch geschriebener Wörter ist eine gute Taktik, um komplexe Passwörter zu erstellen

Brute-Force-Angriffe und Wörterbuchangriffe können einfache Passwörter knacken. Ihre Passwortrichtlinie muss also Komplexitätsanforderungen haben, um Benutzer zu ermutigen, hackersichere Passwörter zu erstellen.

2. Erstellen Sie eine Kennwortverweigerungsliste

Ihre Kennwortrichtlinie sollte nicht nur enthalten, was Benutzer tun sollten, sondern auch Dinge angeben, die Benutzer beim Erstellen von Kennwörtern vermeiden müssen.

Eine Passwortverweigerungsliste kann Folgendes enthalten:

• Personenbezogene Daten wie Name, Geburtsdatum, Geburtsort, Berufsbezeichnung etc.
• Telefonnummern, Hausnummern oder Hausnummern
• Name des Ehepartners, der Kinder oder Angehörigen
• Wiederverwendung des gleichen Passworts für mehrere Konten

Als Faustregel gilt, dass die Verweigerungsliste Ihrer Passwortrichtlinie jede Art von persönlichen Informationen oder ein einfaches Muster (wie QWERTZ bis 123456) enthalten sollte.

3. Legen Sie einen Ablaufzeitraum für das Kennwort fest

Die Hauptidee hinter dem Festlegen einer Ablaufzeit für Passwörter ist, dass Hacker nicht wissen, ob die Passwörter, die sie in einer alten Datenpanne gefunden haben, funktionieren.

Zum Beispiel wird Ihr Passwort in einem zwei Monate alten Datenverletzungsvorfall offengelegt. Und Sie ändern Ihr Passwort jeden Monat. Hacker können sich mit diesem durchgesickerten Passwort keinen Zugriff auf Ihr Konto verschaffen.

Idealerweise sollte die Ablaufzeit des Passworts auf drei Monate eingestellt werden. Sie können diesen Zeitraum jedoch je nach Bedarf Ihres Unternehmens anpassen. Außerdem sollten Sie sicherstellen, dass Ihre Mitarbeiter nicht dieselben Passwörter für andere Konten verwenden.

4. Multi-Faktor-Authentifizierung erzwingen

Multi-Faktor-Authentifizierung (MFA) kann die Sicherheit von Konten in Ihrem Unternehmen erhöhen. Dies liegt daran, dass Hacker keinen Zugriff auf Konten erhalten können, selbst wenn sie an Logins und Passwörter für diese Konten gelangen.

Daher muss Ihre Kennwortrichtlinie es Benutzern vorschreiben, MFA für alle Konten zu implementieren, die diese Funktion zulassen.

5. Schließen Sie den Schwellenwert für die Kontosperrung ein

Der Schwellenwert für die Kontosperrung ermöglicht, dass Benutzerkonten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt werden. Diese Funktion schützt Ihre Konten vor Brute-Force-Angriffen und Wörterbuchangriffen.

Idealerweise können Sie den Schwellenwert für die Kontosperrung auf fünf fehlgeschlagene Anmeldeversuche festlegen. Dazu gehört die Implementierung einer Kontosperrzeit von 15 Minuten.

6. Haben Sie Richtlinien zum Speichern von Passwörtern

Wussten Sie, dass 55 Prozent der Mitarbeiter Passwörter in Haftnotizen speichern? Wie Ihre Mitarbeiter Passwörter speichern, wirkt sich auf die Passwortsicherheit aus.

Das Speichern von Passwörtern in E-Mails, einer Notiz-App auf einem Telefon, Papiernotizen und Dokumenten auf einem Computer ist eine schlechte Praxis. Und dadurch wird die Sicherheit von Passwörtern geschwächt, selbst wenn die Passwörter lang und komplex sind.

Daher muss Ihre Kennwortsicherheitsrichtlinie klare Richtlinien für die sichere Speicherung von Kennwörtern enthalten. Und eine Möglichkeit, dies zu tun, ist die Verwendung eines Passwort-Managers, der Ihr Passwort verschlüsselt und sicher hinter dem Master-Passwort speichert.

Obwohl die meisten Browser heutzutage eine Funktion zum Speichern von Passwörtern haben, ist die Verwendung eines Passwort-Managers zum Speichern von Passwörtern eine sicherere Option. Ein Passwort-Manager bietet auch sichere Möglichkeiten, Passwörter zwischen verschiedenen Benutzern zu teilen.

7. Legen Sie Konsequenzen für Richtlinienverstöße fest

Sie haben eine Kennwortsicherheitsrichtlinie erstellt, um Computer und Online-Konten zu schützen. Also sollte jeder es religiös befolgen. Das Festlegen einiger Konsequenzen für diejenigen, die häufig gegen die Richtlinie verstoßen, kann eine gute Idee sein, um alle Benutzer zu ermutigen, sich an die Kennwortrichtlinie zu halten.

Sie sollten jedoch kreative Wege finden, um Verstößen gegen die Passwortrichtlinie das Gefühl zu geben, Fehler gemacht zu haben. Jede harte Bestrafung kann sie zu einer inneren Bedrohung machen.

Bieten Sie Richtlinienverletzern mehr Sensibilisierungsschulungen an und ermutigen Sie sie, die Passwortrichtlinie zu befolgen. Aber wenn jemand trotz vieler Warnungen wiederholt Fehler macht, kann es die beste Option sein, ihn gehen zu lassen, da er Ihr Geschäft riskiert.

8. Aktualisieren Sie Ihre Passwortrichtlinie regelmäßig

Ihre Passwortrichtlinie sollte nicht in Stein gemeißelt sein. Stattdessen sollten Sie Ihre Passwortrichtlinie von Zeit zu Zeit überprüfen und prüfen, ob sie erfolgreich ist:

• Sicherstellen, dass Benutzer lange, komplexe Passwörter erstellen
• Verhindern, dass Benutzer neue Passwörter erstellen, die leicht zu hacken sind
• Ermutigen Sie die Benutzer, Passwörter häufig zu ändern, wie in der Richtlinie empfohlen
• Verhindern, dass Benutzer dasselbe Passwort für mehrere Konten verwenden

Wenn Sie Ihre Passwortrichtlinie an den Beobachtungen aus regelmäßigen Passwortprüfungen orientieren, können Sie eine robuste Passwortrichtlinie erstellen, um die Passwortsicherheit in Ihrem Unternehmen zu verbessern.

Best Practices für Passwortrichtlinien

Im Folgenden finden Sie die Best Practices, um den Erfolg Ihrer Passwortrichtlinie zu maximieren:

1. Haben Sie eine leicht zugängliche Passwortrichtlinie

Das Richtlinienhandbuch sollte so organisiert sein, dass Benutzer leicht durch verschiedene Abschnitte wie Passworterstellung und Passwortspeicherung navigieren können.

Bereiten Sie sowohl eine Hardcopy als auch eine Softcopy Ihrer Passwortrichtlinie vor, um sicherzustellen, dass Benutzer wie gewünscht darauf zugreifen können.

2. Führen Sie ein Passwortverwaltungssystem ein

Die obligatorische Verwendung eines Passwort-Managers in Ihrer Richtlinie kann die Passwortsicherheit erheblich stärken. Wie?

Mitarbeiter müssen heutzutage mehrere Passwörter erstellen. Und das Erstellen eines eindeutigen Passworts für jedes Konto kann für viele Benutzer ein Problem darstellen. Ein Passwort-Manager kann sofort ein schwer zu knackendes Passwort erstellen und mehrere Passwörter sicher speichern.

3. Verbieten Sie das Teilen unsicherer Passwörter

Das Teilen von Passwörtern zwischen Benutzern ist eine gängige Praxis in der heutigen Geschäftsumgebung, wenn mehrere Mitarbeiter an einem einzigen Projekt arbeiten.

Um die Passwortsicherheit zu verbessern, sollten Sie sicherstellen, dass niemand Passwörter über Textnachrichten, E-Mails oder Sofortnachrichten weitergibt. Eine sichere Passwortfreigabe ist ein Muss, um die Passwortsicherheit zu verbessern. Alle renommierten Passwort-Manager ermöglichen es Benutzern, Passwörter sicher zu teilen.

4. Implementieren Sie die Anmeldezeit

Mitarbeiter sollten sich nur bei Konten und Systemen anmelden, wenn sie diese verwenden. Konten und Systeme angemeldet zu halten, wenn niemand sie verwendet, ist eine lausige Cybersicherheitspraxis. Und die Passwortrichtlinie sollte diese Praxis strikt verbieten.

5. Führen Sie regelmäßige Passwort-Audits durch

Richten Sie Passwort-Audits als regelmäßige Praxis ein, um die Wirksamkeit Ihrer Passwortrichtlinie zu überprüfen. Dies wird Ihnen helfen, Verbesserungsbereiche in Ihrer Passwortrichtlinie zu ermitteln, um deren Erfolg zu maximieren.

Was sind die NIST-Kennwortrichtlinien?

Zu den wesentlichen NIST-Richtlinien für Passwörter gehören unter anderem die Erstellung von mindestens acht Zeichen langen Passwörtern, die Betonung der Länge mehr als die Komplexität, die Aktivierung der „Passwort anzeigen“-Einstellungen, die Implementierung einer Zwei-Faktor- oder Multi-Faktor-Authentifizierung und die Vermeidung häufiger Passwortänderungen.

Sind komplexe Passwörter so wichtig wie die Mindestpasswortlänge?

Komplexität und Passwortlänge sind beide notwendig, um schwer zu hackende Passwörter zu erstellen. Wenn Sie jedoch komplexere Passwörter anstelle von längeren Passwörtern wählen, wird es für Benutzer schwierig, sich Passwörter zu merken. Die Maximierung von Länge und Komplexität wird empfohlen, wenn ein Unternehmen eine Passwort-Manager-App einsetzt.

Wie oft sollten Passwörter geändert werden?

Die meisten Cybersicherheitsexperten empfehlen, Passwörter alle drei Monate zu ändern. Alle guten Passwort-Manager verfügen oft über eine Funktion, die anzeigt, ob die gespeicherten Passwörter bei einem Datenverletzungsvorfall gefunden wurden. Sie sollten ein Passwort sofort ändern, wenn es einer Datenschutzverletzung ausgesetzt ist.

Sollten kleine Unternehmen einen Passwort-Manager verwenden?

Ja, kleine Unternehmen sollten einen Passwort-Manager verwenden. Eine Passwort-Manager-App kann Ihren Mitarbeitern helfen, komplexe Passwörter zu erstellen, Passwörter sicher zu speichern und Passwörter sicher zu teilen. Der Einsatz eines Passwort-Managers bietet einen zuverlässigen Passwortschutz.

Was ist die ideale Passwortrichtlinie?

Die ideale Passwortrichtlinie legt Wert darauf, schwer zu knackende Passwörter zu erstellen, Passwörter sicher zu speichern und unterschiedliche Passwörter für verschiedene Konten zu verwenden. Es betont auch das häufige Ändern alter Passwörter.

DAS KÖNNTE IHNEN AUCH GEFALLEN:

• Das Teilen von Business-WLAN-Passwörtern muss nicht schwierig sein, verwenden Sie QR-Codes wie diesen

Bild: Envato Elements