neue Passwort-Kriterien

Neue Kennwort-Policy

Die unterschiedlichen Kennwortregelungen der Organisationen Magistrat, AKH, Wiener Spitäler und Krankenhäuser sowie Pflegewohnhäuser sind aus Gründen der Informationssicherheit zu vereinheitlichen.
Die neue Kennwort-Policy für PC-BenutzerInnen (LAN-User) und Mobile Geräte wurde mit der CISO (Chief Information Security Officer) der Stadt Wien (Fr. DI Heissenberger)  und dem Informationssicherheitsbeauftragen des KAV abgestimmt und vom Lenkungsgremium IKT-Sicherheit beauftragt.

Neue Kennwort-Policy für PC-BenutzerInnen (LAN-User)

*       Mindestlänge des Kennworts: 10 Zeichen
Grundsätzlich gilt: je länger, desto besser!
Bei sehr langen Kennwörtern treten oft unerwünschte „Muster“ auf. Um diese zu vermeiden und damit das Kennwort noch gut merkbar ist, wurde die Mindestlänge auf 10 Zeichen festgesetzt.
*       Komplexität: drei verschiedene Arten von Zeichen
Das Kennwort muss zumindest drei verschiedene Arten von Zeichen wie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…) beinhalten.
Der Grundtenor der internationalen Empfehlungen ist bei einer moderaten Passwortlänge (darunter fallen 10 Zeichen) eine Mindestkomplexität wie diese zu verlangen.
*       Gültigkeitsdauer: 365 Tage
Die Kriterien eines „starken“ Kennwortes sind in der neuen Kennwort-Policy in erster Linie mit der Länge und der Komplexität erfüllt.
Die Idee dahinter: AnwenderInnen sollen sich ein wirklich gutes, starkes Kennwort überlegen, müssen dieses dafür aber weniger oft wechseln als bisher. Auch hier belegen Studien, dass erzwungene Kennwortwechsel in zu kurzen Abständen wiederum zu vorhersehbaren und damit unerwünschten Mustern bei der Kennwortwahl führen.
*       Verhinderung bereits „öffentlicher“ Kennwörter:
Bei der Auswahl des Kennwortes wird zusätzlich überprüft, ob dieses Kennwort bereits in Listen von im Internet veröffentlichten Kennwörtern aufscheint. Wenn dem so ist, wird die Wahl dieses Kennwortes nicht zugelassen.
Diese Maßnahme soll verhindern, dass ein – an sich den Kriterien entsprechendes Kennwort – doch nicht verwendet werden kann, weil es anderswo „gecrackt“ worden ist und dadurch nun doch nicht mehr sicher ist.
Achtung: die Fehlermeldung bei solchen Kennwörtern unterscheidet sich nicht von der Fehlermeldung bei Eingabe eines Kennwortes, das den anderen Kriterien nicht entspricht. Es erfolgt auch hier nur die Meldung, dass das Kennwort nicht geändert werden konnte.

Neue Kennwort-Policy für mobile Geräte

Zusätzlich zu den oben genannten Änderungen werden auch beim Gerätesperrcode, dem Zugang zum Citrix Secure Hub von mobilen Geräten (iOS und Android), sowie auch beim Kennwort für den Knox Container (Samsung -Geräte mit Android) einheitliche Kennwort-Regelungen eingeführt. Die oben angeführten Überlegungen für die Festlegung der Werte bei den einzelnen Kriterien wurden prinzipiell auch hier angewendet.
Da das Kennwort bzw. der Gerätesperrcode hier jedoch nur als zweiter Faktor (Wissen) zur Anwendung kommt und es ohne das Gerät selbst, welches den ersten Faktor (Besitz) darstellt, nicht möglich ist, das Kennwort zu „hacken“, konnten die Werte hier deutlich geringer als bei den Kennwörtern für PC-BenutzerInnen (LAN-User) festgelegt werden.

*       Gerätesperrcode (iOS und Android)
Mindest Kennwortlänge: 6 Zeichen
biometrische Erkennung: aktiviert
Komplexität:   numerisch
Gültigkeitsdauer:  365 Tage

*       Knox Container (nur Android)
Mindest Kennwortlänge: 6 Zeichen
Komplexität:   mindestens je 1 Buchstabe und 1 Ziffer
Gültigkeitsdauer:  365 Tage

*       Citrix Secure Hub (iOS und Android)
Es gelten hier dieselben Regelungen wie für den Gerätesperrcode (iOS und Android)

Umsetzung und Zeithorizont

Die technische Umsetzung der neuen Kennwort-Policy wird im Laufe der nächsten Monate durchgeführt. Für die PC-BenutzerInnen (LAN-User) muss dies in mehreren Schritten erfolgen.

In einem ersten Schritt werden am 17. Dezember 2019 die Merkmale „Mindestlänge“ und „Komplexität“ der neuen Kennwort-Policy für die PC-BenutzerInnen (LAN-User) aktiviert. Die Änderung wird erst bei der nächsten Kennwortänderung nach dem 17.12.2019 wirksam, zu diesem Zeitpunkt wird keine Kennwortänderung erzwungen.
Am 17.12.2019 erfolgt auch die Aktivierung aller Regelungen der neuen Kennwort-Policy für Mobile Geräte.

Am 14. April 2020 wird auch die „Gültigkeitsdauer“ von 365 Tagen bei der neuen Kennwort-Policy für die PC-BenutzerInnen (LAN-User) aktiviert.

In einem dritten und letzten Schritt erfolgt die Aktivierung der Regelung „Verhinderung bereits geleakter Kennwörter“. Die Information über diesen Zeitpunkt erfolgt noch gesondert.