Warum eine Passwort Richtline entscheidend ist
Bei der Verarbeitung von personenbezogenen Daten mit Hilfe von Computern ist sicherzustellen, dass nur berechtigte Personen darauf zugreifen können und dies auch nur im erlaubten Umfang. Notwendig ist daher, dass sich derjenige, der auf personenbezogene Datenzugreifen will, zunächst gegenüber dem Computersystem identifiziert und seine Zugriffsberechtigung nachweist.
Die Regelungen einer Passwortrichtlinie befassen sich daher mit einem Schlüsselthema bei der Umsetzung von technischen und organisatorischen Maßnahmen. Damit ist eine sichere Zugangskontrolle gewährleistet. Sie verhindert weitestgehend, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die gesetzliche Notwendigkeit der Verwendung sicherer Passwörter findet sich in Art. 32 Abs. 2 der Datenschutz-Grundverordnung (DS-GVO). Sie ist dort eine zentrale Maßnahme der Sicherheit der Verarbeitung. Die Vorkehrungen durch ein starkes Passwort und eine Passwortrichtlinie dienen gleichermaßen dem Datenschutz und der Datensicherheit! Zusätzlich schützen sichere Passwörter gegen Brute-Force-Angriffe bzw. erschweren es den Angreifern.
Passwortsicherheitsrichtlinie
Hier können eigene Sicherheitsrichtlinien pro Benutzergruppe ausgewählt werden. Z. B. sollen Mitglieder der Benutzergruppe "Schüler" nur Passwörter mit minimaler Länge von 7 Zeichen und nur mit Sonderzeichen auswählen können. Oder ein Klassen-Benutzer, der von Schülern einer Klasse gemeinsam genutzt wird, soll keine Passwörter ändern können.
Eigene Sicherheitsrichtlinien legen Sie unter <Administration> | <Rechte und Rollen> | Button <Sicherheitsrichtlinie> an.
Passwort Sicherheitsrichtlinien Einstellungen
Richtlinie Anpassen
In WebUntis auf Administration klicken
Danach unter Rechte und Rollen -> zum Experten Modus
Hier können sie neben den Sicherheitsrichtlinien auch die Benutzergruppen anpassen.
Mit Klicken auf den Stift neben der Sicherheitsrichtlinie, kann neben dem Neu erstellen auch die Standard eingesetzte "user" Sicherheitsrichtlinie, bearbeitet werden.
Hier können sie die gewünschten Sicherheitsrichtlinie anpassen und für unterschiedliche Personengruppen, unterschiedlich stark gestalten.
Tipps zu den Passworteinstellungen finden sie weiter unten
Sicherheitsrichtlinie Zuweisen
Im Administrations Bereich unter Rechte und Rollen -> zum Experten Modus
Hier kann den Benutzergruppen, unterschiedlich erstellte Passwortrichtlinien, vergeben werden.
Beste Praxis Passwortrichtlinie
WebUntis Einstellungen
Admin
Minimale Passwortlänge | 12 |
Passwort muss Großbuchstaben enthalten | Aktiviert |
Passwort muss Kleinbuchstaben enthalten | Aktiviert |
Passwort muss Ziffern enthalten | Aktiviert |
Passwort muss Sonderzeichen enthalten | Aktiviert |
Passwort darf keine markante Ähnlichkeit zum Benutzernamen haben | Aktiviert |
Passwort muss nach [n] Tagen geändert werden. | 180 |
Benutzer dürfen Passwort nicht ändern | Deaktivert / Nur bei Notfall Benutzer |
Zwei-Faktor-Authentifizierung verpflichten. Benutzer nach [n] Missachtungen sperren. | 3 |
Benutzer
Minimale Passwortlänge | 12 |
Passwort muss Großbuchstaben enthalten | Aktiviert |
Passwort muss Kleinbuchstaben enthalten | Aktiviert |
Passwort muss Ziffern enthalten | Aktiviert |
Passwort muss Sonderzeichen enthalten | Aktiviert |
Passwort darf keine markante Ähnlichkeit zum Benutzernamen haben | Aktiviert |
Passwort muss nach [n] Tagen geändert werden. | Deaktiviert |
Benutzer dürfen Passwort nicht ändern | Deaktiviert |
Zwei-Faktor-Authentifizierung verpflichten. Benutzer nach [n] Missachtungen sperren. | 15 |
Generelle Passwort Tipps
Es ist ratsam, die folgenden Passwortrichtlinien (wenn möglich) einzustellen / sperren:
- Einfach zu erratende Passwörter, insbesondere der Begriff "Passwort";
- Eine Reihe von Zahlen oder Buchstaben wie "1234" oder "abcd";
- Eine Zeichenfolge, die nacheinander auf der Tastatur angezeigt wird, z. B. "@#$%^&";
- Der Vorname eines Benutzers, der Name eines Ehepartners oder Partners oder andere Namen
- Die Telefonnummer oder das Nummernschild des Benutzers, das Geburtsdatum einer Person oder andere Informationen, die leicht über einen Benutzer erhalten werden können (z. B. Adresse oder Alma Mater)
- Das gleiche Zeichen wurde mehrmals wie "zzzzzz" eingegeben
- Wörter, die in einem Wörterbuch gefunden werden können
- Standardkennwörter oder empfohlene Kennwörter, auch wenn sie stark erscheinen
- Benutzernamen oder Hostnamen, die als Kennwörter verwendet werden
- Eine der oben genannten Ziffern folgt oder ihr eine einzelne Ziffer vorangestellt ist
- Kennwörter, die ein Muster bilden, indem eine Zahl oder ein Zeichen am Anfang oder Ende erhöht wird
Bewährte Methoden für die Kennwortrichtlinie
Administratoren sollten Folgendes sicherstellen:
- Konfigurieren Sie eine minimale Kennwortlänge.
- Erzwingen Sie die Richtlinie für den Kennwortverlauf, wobei mindestens 10 frühere Kennwörter gespeichert wurden.
- Legen Sie ein Mindestalter für das Passwort von 3 Tagen fest.
- Aktivieren Sie die Einstellung, die Kennwörter erfordert, um die Komplexitätsanforderungen zu erfüllen. Diese Einstellung kann für Passphrasen deaktiviert werden, wird jedoch nicht empfohlen.
- Setzen Sie die Kennwörter für Dienstkonten während der Wartung einmal jährlich zurück.
- Verwenden Sie für Domänenadministratorkonten starke Passphrasen mit mindestens 15 Zeichen.
- Erstellen Sie E-Mail-Benachrichtigungen für den Ablauf des Kennworts.
- Anstatt die Standardeinstellungen in der Domänenrichtlinie zu bearbeiten, wird empfohlen, granulare Kennwortrichtlinien zu erstellen und sie mit bestimmten Organisationseinheiten zu verknüpfen.
Zusätzliche Best Practices für Kennwort und Authentifizierung
- Unternehmensanwendungen müssen die Authentifizierung einzelner Benutzerkonten unterstützen, nicht von Gruppen.
- Unternehmensanwendungen müssen gespeicherte und übertragene Passwörter mit Verschlüsselung schützen, um sicherzustellen, dass Hacker sie nicht knacken.
- Benutzer (und Anwendungen) dürfen Kennwörter nicht im Klartext oder in leicht umkehrbarer Form speichern und Kennwörter nicht im Klartext über das Netzwerk übertragen.
- Verwenden Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA), um die Sicherheitsrisiken gestohlener und falsch behandelter Passwörter zu minimieren.
- Wenn Mitarbeiter die Organisation verlassen, ändern Sie die Kennwörter für ihre Konten.
Anwenderschulung
Stellen Sie außerdem sicher, dass Sie Ihre Benutzer über Folgendes informieren:
- Es ist wichtig, sich Ihr Passwort zu merken, ohne es irgendwo aufzuschreiben, also wählen Sie ein sicheres Passwort oder eine Passphrase, die Sie sich leicht merken können. Wenn Sie viele verschiedene Passwörter haben, können Sie ein Passwortverwaltungstool verwenden, aber Sie müssen einen starken Hauptschlüssel wählen und sich daran erinnern.
- Beachten Sie, wie Kennwörter über das Internet gesendet werden. URLs (Webadressen), die mit "https://" anstelle von "http://" beginnen, sind eher sicher für die Verwendung Ihres Passworts.
- Wenn Sie vermuten, dass jemand anderes Ihr aktuelles Passwort kennt, ändern Sie es sofort.
- Geben Sie Ihr Passwort nicht ein, während jemand zuschaut.
- Vermeiden Sie es, dasselbe Passwort für mehrere Websites zu verwenden, die vertrauliche Informationen enthalten.