F

Wie sieht Passwort-Compliance und Passwort-Verwaltung nach PCI DSS aus?

Der Payment Card Industry Data Security Standard (PCI DSS) bestimmt als Compliance-Vorschrift wichtige Sicherheitsfaktoren für das Passwort.

Verizon hat schon 2011 darauf hingewiesen, dass schlechte Passwort-Verwaltung die Hauptursache vieler Datenschutz-Verletzungen...

ist. Das bedeutet wohl auch, dass viele Unternehmen Vorschriften wie PCI DSS, HIPAA und andere nicht erfüllt haben. Können Sie die wichtigsten Best Practices in Bezug auf Passwort-Compliance nennen? Von welchen Voraussetzungen gehen verbreitetsten Vorgaben aus?

Generell ist der Payment Card Industry Data Security Standard (PCI DSS) die einzige wichtige Compliance-Vorschrift, die konkrete Anforderungen für die Passwort-Sicherheit definiert. Diese Anforderungen finden sich im Requirement 8 des PCI DSS-Standards. Die allgemeinen Best Practices für die Passwort-Sicherheit in diesem Abschnitt umfassen die folgenden Bestimmungen:

  • Generische, gemeinsame oder Gruppen-Passwörter und Konten sind explizit verboten. Dies wird niemanden überraschen, denn es ist standardmäßige Best Practice im Bereich Sicherheit. Bei einer gemeinsamen Verwendung von Passwörtern gibt es keine persönliche Verantwortlichkeit mehr. Außerdem wird dadurch die Sicherheit geschützter Systeme gefährdet.
  • Benutzer-Passwörter müssen mindestens alle 90 Tage geändert werden. Diese Passwort-Vorschrift ist eine der heikelsten beim PCI DSS-Standard, denn sie ist für die Benutzer ausgesprochen lästig. Bei der Mehrzahl der Unternehmen, die nicht zur Einhaltung der PCI-Passwort-Richtlinien verpflichtet sind, ist eine Änderung des Passworts in der Regel jedes Jahr oder alle sechs Monate vorgeschrieben. PCI DSS ist hier viel strenger.
  • Passwörter müssen mindestens sieben Zeichen lang sein und Buchstaben und Ziffern enthalten. Die meisten Unternehmen halten sich bereits an diese Standardsicherheitspraxis. Eine Vorgabe bezüglich der Verwendung von Satzzeichen, Groß- und Kleinbuchstaben oder Sonderzeichen gibt es hier nicht.
  • Benutzer dürfen ihre letzten vier Passwörter nicht wiederverwenden. Diese Anforderung hindert Benutzer daran, Passwörter innerhalb eines Jahres mehr als einmal zu benutzen.

Wenn die PCI-DSS-Standards für sie bereits gelten, ist dies alles sicher ein alter Hut für Sie – wird auch nur eine dieser Vorgaben nicht erfüllt, bestehen Sie Ihr PCI-DSS-Audit nicht. Vielleicht arbeiten Sie ja auf die Einhaltung anderer Standards hin, die keine spezifischen Vorgaben in dieser Hinsicht machen. In diesem Fall ist PCI DSS ein hervorragender Kontrollmechanismus, den Sie ohne Probleme als branchenübliches Best Practice rechtfertigen können.

Artikel wurde zuletzt im Juli 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close