Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Der Password Policy Compliance Bericht in Specops Password Auditor
Unternehmen, die bewerten möchten, wie gut ihre bestehenden Passwortrichtlinien mit den verschiedenen Compliance-Standards übereinstimmen, können von einem kostenlosen Scan mit Specops Password Auditor profitieren. Einer der Berichte, die der Specops Password Auditor zur Verfügung stellt, ist der Password Policy Compliance Bericht.
In diesem Beitrag gehen wir darauf ein, wie er aufgebaut ist und was er bedeutet.
So sieht der Password Policy Compliance Bericht aus
Der Password Policy Compliance Bericht in Specops Password Auditor bietet einen Überblick über die Richtlinien in Ihrem Active Directory (oder dem Teil Ihres AD, den Sie zu Beginn Ihres Scans definiert haben). Der Specops Password Auditor liefert Ergebnisse für die Standard-Domänen-Passwortrichtlinie, alle fein abgestimmten Passwortrichtlinien sowie alle Specops Passsword Policies (falls installiert).
Rot, Gelb, Grün
Die Tabelle gibt Aufschluss darüber, inwieweit die einzelnen Kennwortrichtlinien mit einer Reihe bekannter gesetzlicher und branchenspezifischer Standards übereinstimmen:
- Rot = nicht konform. Das bedeutet, dass die Richtlinie keine der in der Norm festgelegten Kennwortanforderungen erfüllt.
- Gelb = teilweise konform. Dies bedeutet, dass die Richtlinie mindestens eine, aber nicht alle der in der Norm festgelegten Kennwortanforderungen erfüllt.
- Grün = Vollständige Erfüllung der Anforderungen. Dies bedeutet, dass die Richtlinie alle in der Norm festgelegten Anforderungen an Passwörter erfüllt.
Was sind die verschiedenen Anforderungen und Empfehlungen zur Einhaltung von Standards?
Der Password Policy Compliance Bericht gibt einen Überblick darüber, wie Ihre Kennwortrichtlinien im Vergleich zu den folgenden Standards abschneiden:
- MS Research
- MS TechNet
- NCSC
- NIST
- PCI
- SANS-Verwaltung
- SANS-Benutzer
Es gibt zwar einige Überschneidungen bei den Anforderungen der einzelnen Standards, aber keine zwei sind genau gleich. Nachfolgend finden Sie die Details zu den Standards, die wir verwenden, um die rot/gelb/grüne Bewertung in der Tabelle zu erstellen.
Entropie
Die Spalte „Entropie“ bezieht sich nicht speziell auf die dargelegten Konformitätsstandards. Stattdessen ist sie ein Maß dafür, wie „stark“ die von den verschiedenen Richtlinien zugelassenen Kennwörter sind. Mehr über die Entropieberechnung, die wir verwenden, erfahren Sie hier.
MS Research
Die Punkte in der Spalte MS-Research werden anhand der hier aufgeführten Empfehlungen gemessen:
- Mindestlänge = 8
- Verwendung von Wörterbüchern (Verbot geläufiger Passwörter) = ja
Einige mögen die hier aufgeführten Anforderungen an Passwörter als veraltet ansehen, da sie nicht die Verwendung kompromittierter Passwörter blockieren, wie dies mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.
MS TechNet
Die Punktzahlen in der MS TechNet-Spalte werden anhand der hier aufgeführten Empfehlungen gemessen:
- Mindestlänge = 14
- Maximales Alter = 60 Tage
- Passwort-Historie (die Verwendung der letzten X Passwörter verhindern) = 24
- Komplexität = 3 Ziffern, niedrig, Spezial, Unicode, hoch
Auch in diesem Fall mag man die hier aufgeführten Anforderungen an Passwörter als veraltet ansehen, da sie nicht die Verwendung kompromittierter Passwörter blockieren, wie dies mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.
NCSC
Die Punkte in der NCSC-Spalte werden anhand der hier aufgeführten Empfehlungen gemessen:
- Verwendung von Wörterbüchern (Verbot gängiger Passwörter) = ja
Wenn die Einhaltung der NCSC-Empfehlungen auf Ihrer Liste steht, könnten Sie auch an den folgenden Informationen (in englischer Sprache) interessiert sein:
NIST
Die Punktzahlen in der Spalte NIST werden anhand der hier aufgeführten Empfehlungen gemessen:
- Mindestlänge = 8
- Verwendung von Wörterbüchern (Verbot allgemeiner Passwörter) = ja
Wenn die Einhaltung der NIST-Empfehlungen auf Ihrer Liste steht, sind Sie vielleicht auch an den folgenden Informationen (in englischer Sprache) interessiert:
PCI
Die Punkte in der PCI-Spalte werden anhand der hier aufgeführten Empfehlungen gemessen:
- Mindestlänge = 7
- Maximales Alter = 90 Tage
- Passworthistorie (die Verwendung der letzten X Passwörter verhindern) = 4
- Komplexität = Ziffer, niedriger
Einige mögen die hier aufgeführten Passwortanforderungen als veraltet ansehen, da sie nicht die Verwendung von kompromittierten Passwörtern blockieren, wie es mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.
Wenn die Einhaltung der NCSC-Empfehlungen auf Ihrer To do – Liste steht, könnten Sie auch an den folgenden Informationen (in englischer Sprache) interessiert sein:
- PCI compliance requirements – Specops Software
- Multifactor authentication requirements for PCI password compliance
SANS
Das SANS-Institut hat unterschiedliche Empfehlungen, je nachdem, ob die Kennwortrichtlinie Administratorkonten oder nur normale Endbenutzerkonten abdeckt.
Die Werte in der Spalte „SANS Admin“ werden an den hier aufgeführten Empfehlungen gemessen:
- Mindestlänge = 12
- Höchstalter = 90 Tage
- Wörterbuch = ja
- Komplexität = Ziffer, niedriger, spezieller, höher
Die Punktzahlen in der Spalte SANS Normal Users werden an den hier aufgeführten Empfehlungen gemessen:
- Mindestlänge = 12
- Höchstalter = 180 Tage
- Wörterbuch = ja
- Komplexität = Ziffer, niedriger, Sonderzeichen, höher
Einige mögen die hier aufgeführten Anforderungen an Passwörter als veraltet ansehen, da sie nicht dazu dienen, die Verwendung kompromittierter Passwörter zu blockieren, wie es mit einer Lösung wie Specops Password Policy mit Breached Password Protection möglich ist.
Nächste Schritte
Wenn Sie Ihren Specops Password Auditor Scan durchgeführt haben und feststellen, dass einige Ihrer Richtlinien nicht mit den für Ihr Unternehmen wichtigen Standards für Passwortrichtlinien übereinstimmen, sollten Sie Maßnahmen ergreifen und einen Plan zur Aktualisierung Ihrer Richtlinien erstellen.
Wenn Sie versuchen, aktuelle Empfehlungen für Passwortrichtlinien einzuhalten, sollten Sie sich ein Tool wie Specops Password Policy ansehen. Benötigen Sie Hilfe bei der Beantragung von Budgets oder der Freigabe von Richtlinien? Dann können Sie die Ergebnisse Ihres Scans mit Specops Password Auditor als PDF-Datei exportieren. Dieses PDF enthält eine übersichtliche und verständliche Zusammenfassung aller passwortrelevanten Schwachstellen für Entscheidungsträger aus anderen Abteilungen oder diejenigen, die den Scan nicht selbst durchgeführt haben.
(Zuletzt aktualisiert am 18/02/2025)