neue Passwort-Kriterien
Neue Kennwort-Policy
Die unterschiedlichen Kennwortregelungen der Organisationen Magistrat, AKH,
Wiener Spitäler und Krankenhäuser sowie Pflegewohnhäuser sind aus Gründen der
Informationssicherheit zu vereinheitlichen.
Die neue Kennwort-Policy für PC-BenutzerInnen (LAN-User) und Mobile Geräte
wurde mit der CISO (Chief Information Security Officer) der Stadt Wien (Fr. DI
Heissenberger) und dem Informationssicherheitsbeauftragen des KAV
abgestimmt und vom Lenkungsgremium IKT-Sicherheit beauftragt.
Neue Kennwort-Policy für PC-BenutzerInnen (LAN-User)
* Mindestlänge des Kennworts: 10 Zeichen
Grundsätzlich gilt: je länger, desto besser!
Bei sehr langen Kennwörtern treten oft unerwünschte „Muster“ auf. Um diese zu
vermeiden und damit das Kennwort noch gut merkbar ist, wurde die Mindestlänge
auf 10 Zeichen festgesetzt.
* Komplexität: drei verschiedene Arten von Zeichen
Das Kennwort muss zumindest drei verschiedene Arten von Zeichen wie Groß- und
Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…) beinhalten.
Der Grundtenor der internationalen Empfehlungen ist bei einer moderaten Passwortlänge
(darunter fallen 10 Zeichen) eine Mindestkomplexität wie diese zu verlangen.
* Gültigkeitsdauer: 365 Tage
Die Kriterien eines „starken“ Kennwortes sind in der neuen
Kennwort-Policy in erster Linie mit der Länge und der Komplexität erfüllt.
Die Idee dahinter: AnwenderInnen sollen sich ein wirklich gutes, starkes
Kennwort überlegen, müssen dieses dafür aber weniger oft wechseln als bisher.
Auch hier belegen Studien, dass erzwungene Kennwortwechsel in zu kurzen
Abständen wiederum zu vorhersehbaren und damit unerwünschten Mustern bei der
Kennwortwahl führen.
* Verhinderung bereits „öffentlicher“ Kennwörter:
Bei der Auswahl des Kennwortes wird zusätzlich überprüft, ob dieses Kennwort
bereits in Listen von im Internet veröffentlichten Kennwörtern aufscheint. Wenn
dem so ist, wird die Wahl dieses Kennwortes nicht zugelassen.
Diese Maßnahme soll verhindern, dass ein – an sich den Kriterien entsprechendes
Kennwort – doch nicht verwendet werden kann, weil es anderswo
„gecrackt“ worden ist und dadurch nun doch nicht mehr sicher ist.
Achtung: die Fehlermeldung bei solchen Kennwörtern unterscheidet sich nicht von
der Fehlermeldung bei Eingabe eines Kennwortes, das den anderen Kriterien nicht
entspricht. Es erfolgt auch hier nur die Meldung, dass das Kennwort nicht
geändert werden konnte.
Neue Kennwort-Policy für mobile Geräte
Zusätzlich zu den oben genannten Änderungen werden auch beim Gerätesperrcode,
dem Zugang zum Citrix Secure Hub von mobilen Geräten (iOS und Android), sowie
auch beim Kennwort für den Knox Container (Samsung -Geräte mit Android)
einheitliche Kennwort-Regelungen eingeführt. Die oben angeführten Überlegungen
für die Festlegung der Werte bei den einzelnen Kriterien wurden prinzipiell
auch hier angewendet.
Da das Kennwort bzw. der Gerätesperrcode hier jedoch nur als zweiter Faktor
(Wissen) zur Anwendung kommt und es ohne das Gerät selbst, welches den ersten
Faktor (Besitz) darstellt, nicht möglich ist, das Kennwort zu
„hacken“, konnten die Werte hier deutlich geringer als bei den Kennwörtern
für PC-BenutzerInnen (LAN-User) festgelegt werden.
* Gerätesperrcode (iOS und Android)
Mindest Kennwortlänge: 6 Zeichen
biometrische Erkennung: aktiviert
Komplexität: numerisch
Gültigkeitsdauer: 365 Tage
* Knox Container (nur Android)
Mindest Kennwortlänge: 6 Zeichen
Komplexität: mindestens je 1 Buchstabe und 1 Ziffer
Gültigkeitsdauer: 365 Tage
* Citrix Secure Hub (iOS und Android)
Es gelten hier dieselben Regelungen wie für den Gerätesperrcode (iOS und
Android)
Umsetzung und Zeithorizont
Die technische Umsetzung der neuen Kennwort-Policy wird im Laufe der nächsten
Monate durchgeführt. Für die PC-BenutzerInnen (LAN-User) muss dies in mehreren
Schritten erfolgen.
In einem ersten Schritt werden am 17. Dezember 2019 die Merkmale „Mindestlänge“
und „Komplexität“ der neuen Kennwort-Policy für die PC-BenutzerInnen (LAN-User)
aktiviert. Die Änderung wird erst bei der nächsten Kennwortänderung nach dem
17.12.2019 wirksam, zu diesem Zeitpunkt wird keine Kennwortänderung erzwungen.
Am 17.12.2019 erfolgt auch die Aktivierung aller Regelungen der neuen
Kennwort-Policy für Mobile Geräte.
Am 14. April 2020 wird auch die „Gültigkeitsdauer“ von 365 Tagen bei der neuen
Kennwort-Policy für die PC-BenutzerInnen (LAN-User) aktiviert.
In einem dritten und letzten Schritt erfolgt die Aktivierung der Regelung
„Verhinderung bereits geleakter Kennwörter“. Die Information über diesen
Zeitpunkt erfolgt noch gesondert.