Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste Überarbeitung Beide Seiten der Revision | ||
|
it-sec:umgangmitpasswoertern [2016/10/07 08:27] chrboett |
it-sec:umgangmitpasswoertern [2016/11/16 11:27] chrboett |
||
|---|---|---|---|
| Zeile 11: | Zeile 11: | ||
| * Da nicht immer für jeden abschätzbar ist, wie gut ein Passwort wirklich ist, sollte man sich nicht an dem vom System vorgegebenen maximalen Gültigkeitszeitraum halten und daher nach Möglichkeit Passwörter früher als vom System vorgegeben wechseln. | * Da nicht immer für jeden abschätzbar ist, wie gut ein Passwort wirklich ist, sollte man sich nicht an dem vom System vorgegebenen maximalen Gültigkeitszeitraum halten und daher nach Möglichkeit Passwörter früher als vom System vorgegeben wechseln. | ||
| * Die sicherste Methode zum Aufbewahren von Passwörtern ist und bleibt es, sich die Passwörter zu merken. Wenn nicht schon unsere Benutzer durch den Einsatz von verschiedensten Systemen/Webseiten/Geräten etc. sich eine Vielzahl von Passwörtern merken müssen, so werden sich insbesondere IT-Administratoren eine größere Anzahl an Passwörtern merken müssen. Gut, wenn mehr als zwei Administratoren alle relevanten Passwörter kennen und vom diesen stets mindestens zwei Administratoren zugegen sind. Das Vergessen wichtiger Systempasswörter kann den gesamten Betrieb von IT-Systemen gefährden. Nicht nur können Arbeiten und Zugriffe nicht mehr stattfinden, sondern es sind fast immer auch Dienstunterbrechungen notwendig, um – sofern möglich – Passwörter neu zu setzen. Deshalb will eine sinnvolle „Speicherstrategie von Passwörtern“ sowohl bei Benutzern als auch Administratoren von IT-Systemen gut überlegt sein. Das Risiko von untergegangenen Passwörtern muss insbesondere in Abhängigkeit von der **Anzahl der erforderlichen Passwörter und deren Wachstumsrate**, **ihrer nötigen Komplexität und Länge**, **der Frequenz angestrebter Wechselrhythmen**, **der Wichtigkeit insbesondere in Punkto Anzahl von Nutzern und Systemen**, **der Möglichkeit und Aufwand des neu setzen können von Passwörtern** untersucht werden. | * Die sicherste Methode zum Aufbewahren von Passwörtern ist und bleibt es, sich die Passwörter zu merken. Wenn nicht schon unsere Benutzer durch den Einsatz von verschiedensten Systemen/Webseiten/Geräten etc. sich eine Vielzahl von Passwörtern merken müssen, so werden sich insbesondere IT-Administratoren eine größere Anzahl an Passwörtern merken müssen. Gut, wenn mehr als zwei Administratoren alle relevanten Passwörter kennen und vom diesen stets mindestens zwei Administratoren zugegen sind. Das Vergessen wichtiger Systempasswörter kann den gesamten Betrieb von IT-Systemen gefährden. Nicht nur können Arbeiten und Zugriffe nicht mehr stattfinden, sondern es sind fast immer auch Dienstunterbrechungen notwendig, um – sofern möglich – Passwörter neu zu setzen. Deshalb will eine sinnvolle „Speicherstrategie von Passwörtern“ sowohl bei Benutzern als auch Administratoren von IT-Systemen gut überlegt sein. Das Risiko von untergegangenen Passwörtern muss insbesondere in Abhängigkeit von der **Anzahl der erforderlichen Passwörter und deren Wachstumsrate**, **ihrer nötigen Komplexität und Länge**, **der Frequenz angestrebter Wechselrhythmen**, **der Wichtigkeit insbesondere in Punkto Anzahl von Nutzern und Systemen**, **der Möglichkeit und Aufwand des neu setzen können von Passwörtern** untersucht werden. | ||
| - | * Um dem Nutzer die Notwendigkeit sicherer Passwörter besser zu veranschaulichen, können Passwortchecker verwendet werden, die die Qualität eines Passwortes nicht in den Kategorien gut-mittel-schlecht bewerten. Beispielseiten für solche Passwortchecker sind [[https://howsecureismypassword.net]] oder [[https://blog.kaspersky.de/password-check/]]. Beiden Seiten bewerten ein eingegebenes Passwort in der Einheit [Zeit], so dass es dem Anwender besser möglich ist, die Qualität des Passwortes in Relation zu setzen. Grundsätzlich wird die Bewertung von Passwörtern anhand von Beispielen, mit denen Benutzer ohne umfassende IT-Erfahrung inhaltlich umgehen können, als sinnvoller angesehen als insbesondere die Bewertung der „Passwortsicherheit“ anhand von Schlüssellängen in Bits oder oberflächlichen Bewertungen ohne Bezugssystem (schwach, mittel, stark). | + | * Um dem Nutzer die Notwendigkeit sicherer Passwörter besser zu veranschaulichen, können Passwortchecker verwendet werden, die die Qualität eines Passwortes nicht in den Kategorien gut-mittel-schlecht bewerten. Beispielseiten für solche Passwortchecker sind [[https://howsecureismypassword.net]] oder [[https://blog.kaspersky.de/password-check/]] bzw. [[https://password.kaspersky.com/de/]]. Beiden Seiten bewerten ein eingegebenes Passwort in der Einheit [Zeit], so dass es dem Anwender besser möglich ist, die Qualität des Passwortes in Relation zu setzen. Grundsätzlich wird die Bewertung von Passwörtern anhand von Beispielen, mit denen Benutzer ohne umfassende IT-Erfahrung inhaltlich umgehen können, als sinnvoller angesehen als insbesondere die Bewertung der „Passwortsicherheit“ anhand von Schlüssellängen in Bits oder oberflächlichen Bewertungen ohne Bezugssystem (schwach, mittel, stark). |
| Denkbare und unter der vorgenannten Abwägung zu betrachtende Speichermöglichkeiten sind insbesondere | Denkbare und unter der vorgenannten Abwägung zu betrachtende Speichermöglichkeiten sind insbesondere | ||
