Nach dem Erstellen einer Sicherheitsrichtlinie und der Ernennung eines IT-Sicherheitsbeauftragten, empfiehlt sich die zur Hilfenahme eines ISM Tools (Information Security Management), wie z.B. Verinice, um den Anforderungen an standarisiertes und auditierbares Vorgehen zu entsprechen.
Es hat sich als gute Praxis erwiesen, den goldenen Mittelweg zwischen Nutzbarkeit und Sicherheit zu beschreiten:
Ein 42 stelliges Passwort ist zwar recht sicher, aber kaum zu merken.
Ein 3 stelliges Passwort ist zwar recht gut zu merken, aber nicht besonders sicher.
Nutzen Sie Keepass, um lange Passwörter zu verwenden.
Verwenden Sie die Authentifizierung durch öffentliche und private Schlüssel für SSH.
Machen Sie Ihre Computeranwender mit den Sicherheitsrichtlinien vertraut, schulen Sie sie!
Erstellen Sie eine Benutzerpasswortrichtlinie mit folgenden Mindestanforderungen:
1. Ein Benutzerpasswort muss mindestens 10 Zeichen enthalten, die sich zusammensetzen aus:
- Klein- und Grossbuchstaben
- Zahlen und Sonderzeichen
2. Ein Benutzerpasswort darf sich nicht zusammensetzen aus:
- Wörtern, die in einem Wörterbuch stehen
- Geburtsdaten, Namen oder Kennzeichen
- zu einfachen Worten (zB FOOOO23)
- vorher schon verwendeten Passwörtern
- woanders verwendeten Passwörtern
3. Regeln für den Umgang mit Passwörtern:
- Notieren Sie niemals Ihre Passwörter
- Legen Sie Ihre Passwörter nicht auf Funktionstasten (Hotkeys)
- Ändern Sie Ihr Passwort auch schon bei dem Verdacht auf Kenntnisnahme durch Dritte
- Nutzen Sie einen kostenlosen Passwortsafe, wie Keepass (KeepassX für Mac und Linux)
- Nutzen Sie Einmal Passwörter, wenn Sie sich aus dem Internetcafe oder von einem Wlan Hotspot aus anmelden.
Diese Anleitung überschneidet sich hauptsächlich mit den BSI Massnahmenkatalog Referenzdokumenten ISO 2700x nach IT-Grundschutz :
[M 2.316] Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server
[M 2.11 ] Regelung des Passwortgebrauchs
[M 4.14] Obligatorischer Passwortschutz unter Unix