Gebrauch von Passwörtern (M 2.40)

(Siehe auch Abschnitt Gebrauch von Passwörtern (M 1.12)
Es gelten die Festlegungen unter: www.uni-weimar.de/passwort
Administratoren haben zusätzlich folgende Regeln zu beachten: http://www.uni-weimar.de/cms/?id=admins )

Werden in einem IT-System Passwörter zur Authentisierung gebraucht, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass das Passwort korrekt gebraucht wird.

Falls technisch möglich, sollten folgende Randbedingungen eingehalten werden:

• Alte Passwörter dürfen nach einem Passwortwechsel nicht mehr gebraucht werden
• Voreingestellte Passwörter (z. B. des Herstellers bei Auslieferung von Systemen) müssen umgehend durch individuelle Passwörter ersetzt werden.
• Die Wahl von Trivialpasswörtern ("BBBBBB", "123456") sollte verhindert werden.
• Jeder Benutzer muss sein eigenes Passwort jederzeit ändern können.
• Nach dreifacher fehlerhafter Passworteingabe muss eine Sperrung erfolgen, die nur vom Systemadministrator aufgehoben werden kann.
• Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.
• Passwörter sollten in Netzen nicht unverschlüsselt übertragen werden.
• Die Passwörter sollten im System zugriffssicher gespeichert werden, z. B. mittels Einwegverschlüsselung.
• Der Passwortwechsel sollte vom System regelmäßig initiiert werden.
• Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden (Passwort-Historie).

Auf die Einhaltung der Regeln ist insbesondere zu achten, wenn das System diese nicht erzwingt.