Mit der Einführung des neuen Identitätsmanagement-Systems im Herbst 2013 wurde auch eine strengere Richtlinie für Passwörter definiert. Das URZ-Passwort musste seitdem mindestens acht Zeichen lang sein und aus Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Möglicherweise ist diese strenge Festlegung für viele Nutzer ein Grund, ihr bestehendes Passwort nicht zu ändern, was insbesondere nach der Heartbleed-Lücke kritisch ist.
Im Rahmen der URZ-Sicherheitsinitiative 2014 wurde daher eine verbesserte Passwortrichtlinie erarbeitet. Die vier Kriterien (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) bleiben zwar weiterhin bestehen, in Abhängigkeit von der Länge des Passworts müssen jedoch nicht mehr alle Kriterien erfüllt sein. Die Prüfung erfolgt nun nach folgendem Schema:
- 8-11 Zeichen Passwortlänge: alle Kriterien müssen erfüllt sein
- 12-15 Zeichen Passwortlänge: drei Kriterien müssen erfüllt sein
- 16-19 Zeichen Passwortlänge: zwei Kriterien müssen erfüllt sein
- ab 20 Zeichen Passwortlänge: keine Restriktionen bezüglich der Kriterien
Zusätzlich zu diesen formalen Kriterien wird weiterhin die Komplexität des Passworts geprüft. So wird sichergestellt, dass hinreichend viele verschiedene Zeichen verwendet und Wörter aus Wörterbüchern vermieden werden. Wir glauben, dass durch die neue Richtlinie die Hürden zur Änderung des Passworts etwas gesenkt und gleichzeitig die Sicherheit weiter erhöht werden kann, da kryptische Passwörter nicht unbedingt sicher sein müssen.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.