Letzte Änderung: März 19, 2025
Richtlinie Nr. 4204 Passwortverfahren
Übersicht
Passwörter sind ein wichtiger Bestandteil der Informationssicherheit. Passwörter dienen dem Schutz von Benutzerkonten; ein schlecht konstruiertes Passwort kann jedoch dazu führen, dass einzelne Systeme, Daten oder das gesamte Netzwerk gefährdet werden. Dieser Leitfaden enthält Best Practices für die Erstellung sicherer Passwörter.
Zweck
Zweck dieses Verfahrens ist es, einen Standard für die Erstellung sicherer Passwörter, den Schutz dieser Passwörter und die Häufigkeit ihrer Änderung festzulegen.
Umfang/Verantwortung
Dieses Verfahren gilt für alle Mitarbeiter und Einrichtungen, die im Namen des Distrikts arbeiten und die ein Konto (oder eine Form des Zugangs, die ein Passwort unterstützt oder erfordert) auf einem System haben oder dafür verantwortlich sind, das sich in einer PCSD-Einrichtung befindet oder mit dieser verbunden ist.
Verfahren
Um die Möglichkeit eines unbefugten Zugriffs zu minimieren, sollten alle Passwörter die Richtlinien für die Erstellung sicherer Passwörter erfüllen oder übertreffen.
Kennwort-Eigenschaften
- Starke Passwörter:
- Enthält mindestens 12 alphanumerische Zeichen
- sowohl Groß- als auch Kleinbuchstaben enthalten
- Mindestens eine Zahl enthalten (z. B. 0-9)
- mindestens ein Sonderzeichen enthalten (z. B. !$%^&*()_+|~-=\`{}[]:";'?,/)
- Schlechte oder schwache Passwörter:
- weniger als acht Zeichen enthalten
- Kann in einem Wörterbuch gefunden werden, auch in Fremdsprachen, oder existiert in Slang, Dialekt oder Jargon
- persönliche Informationen wie Geburtsdaten, Adressen, Telefonnummern, Namen von Familienmitgliedern, Haustieren, Freunden oder fiktiven Personen enthalten
- Sie enthalten arbeitsbezogene Informationen wie Gebäudenamen, Maskottchen, Hardware oder Software.
- Zahlenmuster wie aaabbb, qwerty, zyxwvuts oder 123321 enthalten
- Sie enthalten gebräuchliche Wörter, die rückwärts geschrieben sind oder denen eine Zahl vorangestellt/nachgestellt ist (z. B. terces, secret1 oder 1secret).
- Sind eine Version von "Willkommen123", "Passwort123" oder "Changeme123".
Bewährte Passwort-Praktiken
- Nutzer dürfen für PCSD-Konten nicht dasselbe Passwort verwenden wie für andere Zugänge, die nicht zu PCSD gehören (z. B. persönliche E-Mails, Shopping-Seiten, soziale Medien).
- Wenn möglich, sollten die Benutzer nicht dasselbe Passwort für verschiedene PCSD-Zugänge verwenden.
- Benutzerkonten mit Berechtigungen auf Systemebene (z. B. PowerSchool) müssen ein eindeutiges Kennwort für Berechtigungen auf Systemebene haben, es sei denn, sie verwenden eine 2-Faktor-Authentifizierung.
- Benutzer sollten Passwörter niemals aufschreiben oder ohne akzeptable Verschlüsselung speichern.
- Erstellen Sie Passwörter, die Sie sich leicht merken können. Eine Methode ist die Verwendung einer Phrase, z. B. "This May Be One Way To Remember" könnte zu
TmB1w2R!
Anforderungen zur Passwortänderung
- Alle Kennwörter auf Systemebene (z. B. Root-, Admin- und Anwendungsadministrator-Konten) müssen mindestens vierteljährlich geändert werden.
- Alle Passwörter auf Benutzerebene (z. B. E-Mail, Web, Desktop-Computer) müssen mindestens einmal jährlich geändert werden. Das empfohlene Intervall ist alle vier Monate.
- Das Knacken oder Erraten von Passwörtern kann in regelmäßigen Abständen durch das InfoSec-Team durchgeführt werden. Wenn ein Passwort kompromittiert wird, muss der Benutzer es sofort ändern.
- Systeme, die Passwortänderungen erzwingen können, müssen dies regelmäßig tun.
- Die Standardpasswörter müssen bei der Ersteinrichtung und Konfiguration geändert werden.
Passwortsicherheit und -verwaltung
- Der Helpdesk für Technologie verwaltet vergessene Passwörter und setzt sie zurück. Benutzer müssen ihre Identität überprüfen, bevor eine Rücksetzung gewährt wird.
- Passwörter dürfen an niemanden weitergegeben werden, auch nicht an Verwaltungsassistenten, Sekretärinnen, Manager, Mitarbeiter oder Familienangehörige.
- Passwörter dürfen nicht in E-Mails oder anderen elektronischen Mitteilungen enthalten sein.
- Benutzer sollten niemals Passwörter in Fragebögen oder Sicherheitsformularen preisgeben.
- Die Benutzer dürfen keine Hinweise auf das Format des Kennworts geben (z. B. "mein Familienname").
- Schreiben Sie Passwörter nicht auf und bewahren Sie sie nicht in einem Büro oder einer unverschlüsselten Datei auf.
- Speichern Sie Passwörter nicht unverschlüsselt in einer Datei auf einem Computer oder einem mobilen Gerät.
- Verwenden Sie niemals die Funktion "Passwort merken" in Anwendungen (z. B. Webbrowsern).
- Wenn ein Benutzer den Verdacht hat, dass sein Passwort missbraucht wurde, muss er dies seinem Vorgesetzten melden und sofort alle Passwörter ändern.
- Verwenden Sie die automatische Abmeldung auf Systemen, die dies zulassen.
Letzter Aktualisierungsstatus:
Aktualisiert Januar 2015
Verwandte Richtlinien und Verfahren
- 4204 Technologieeinsatz
- 4204 Zulässige Nutzung
- 4204 Rechnungsprüfung
- 4204 Sauberer Schreibtisch
- 4204 Plan zur Wiederherstellung im Katastrophenfall
- 4204 E-Mail
- 4204 Sicherheitsschulung für Mitarbeiter
- 4204 Verschlüsselung
- 4204 Passwort
- 4204 Fernzugriff
- 4204 Router- und Switch-Sicherheit
- 4204 Sicherheit für sensible Workstations
- 4204 Sicherheits-Reaktionsplan
- 4204 Server-Sicherheit
- 4204 Software-Installation
- 4204 Website-Dienste Sicherheit
- 4204 Drahtlose Gerätekommunikation
- 4204 Drahtlose Infrastrukturkommunikation