Passwortrichtlinie
Was ist Passwortrichtlinie?
PasswortrichtlinieDokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren.
Eine Passwortrichtlinie legt die Anforderungen an vom Benutzer gewahlte Geheimnisse fest: Mindestlange, erlaubte Zeichen, Abgleich mit kompromittierten Passwortlisten, Ablaufregeln und Sperrschwellen. Die moderne Leitlinie NIST SP 800-63B (Revision 3 sowie der Entwurf zu Revision 4) hat erzwungene periodische Wechsel und komplexe Zusammensetzungsregeln abgeschafft, weil Studien zeigten, dass diese zu vorhersagbaren Passwortern fuhren. Der heute empfohlene Mindeststandard liegt bei 8 Zeichen (15+ fur privilegierte Konten), Abgleich gegen Listen wie Have I Been Pwned und kein Zwangswechsel ohne Hinweis auf Kompromittierung. Wirksame Richtlinien kombinieren Lange mit MFA, Passwortmanagern und Rate Limiting.
● Beispiele
- 01
Feingranulare AD-Passwortrichtlinie mit 14 Zeichen und HIBP-Pruefung fur Domain Admins.
- 02
SaaS-Registrierung, die jedes in der Pwned-Passwords-API enthaltene Passwort ablehnt.
● Häufige Fragen
Was ist Passwortrichtlinie?
Dokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Passwortrichtlinie?
Dokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren.
Wie funktioniert Passwortrichtlinie?
Eine Passwortrichtlinie legt die Anforderungen an vom Benutzer gewahlte Geheimnisse fest: Mindestlange, erlaubte Zeichen, Abgleich mit kompromittierten Passwortlisten, Ablaufregeln und Sperrschwellen. Die moderne Leitlinie NIST SP 800-63B (Revision 3 sowie der Entwurf zu Revision 4) hat erzwungene periodische Wechsel und komplexe Zusammensetzungsregeln abgeschafft, weil Studien zeigten, dass diese zu vorhersagbaren Passwortern fuhren. Der heute empfohlene Mindeststandard liegt bei 8 Zeichen (15+ fur privilegierte Konten), Abgleich gegen Listen wie Have I Been Pwned und kein Zwangswechsel ohne Hinweis auf Kompromittierung. Wirksame Richtlinien kombinieren Lange mit MFA, Passwortmanagern und Rate Limiting.
Wie schützt man sich gegen Passwortrichtlinie?
Schutzmaßnahmen gegen Passwortrichtlinie kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Passwortrichtlinie?
Übliche alternative Bezeichnungen: Passwortregeln, Anmeldedaten-Richtlinie.
● Verwandte Begriffe
- identity-access№ 795
Passwort
Eine geheime Zeichenfolge, die ein Nutzer angibt, um seine Identität gegenüber einem System nachzuweisen; traditionell der dominierende Einfaktor-Authentifizierungsmechanismus.
- identity-access№ 796
Passwort-Entropie
Mass in Bit fur die Unvorhersagbarkeit eines Passworts: hohere Entropie bedeutet, dass ein Angreifer mehr Versuche braucht.
- identity-access№ 884
Geleaktes Passwort (Pwned)
Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf.
- identity-access№ 797
Passwort-Manager
Eine Anwendung, die starke, einmalige Zugangsdaten erzeugt, speichert und automatisch einsetzt; abgesichert durch eine Master-Passphrase und zunehmend auch Passkeys.
- identity-access№ 708
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
- identity-access№ 009
Kontosperrung
Schutzmechanismus, der Anmeldeversuche nach einer konfigurierten Zahl aufeinanderfolgender Fehlschlage zeitweise oder dauerhaft blockiert und so Online-Passwort-Raten verlangsamt.