Specops Password Auditor unterstützt die folgenden Standards:
NOTE
Specops Password Auditor will check against both the built-in Windows policies as well as those created with Specops Password Policy (with Specops Breached Password Protection).
For example, standards that require users not to use dictionary words (Disallow passwords from dictionary) will be marked as non-compliant if Specops Password Policy is not used, or if the policy in Specops Password Policy is not configured to satisfy the criterium.
The tables below show which compliance criteria require additional policy tools:
- *: Specops Password Policy
- **: Specops Breached Password Protection
NIST
Beschreibung
Das National Institute of Standards and Technology (NIST) gibt die Informationssicherheitsstandards für Bundesbehörden in den Vereinigten Staaten von Amerika vor.
Mit dem Hauptschwerpunkt auf einem für Anwender vereinfachten Prozess zur Kennworterstellung und dem Verschieben der Verantwortung zur Erstellung von starken Passwörtern auf Authentifizierungssysteme, stellt die Durchsetzung von Wörterbüchern eine wichtige Komponente der NIST-Empfehlungen dar.
Specops Password Policy gibt Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, um in Ihrem Unternehmen gebräuchliche Worte abzulehnen, oder Breached Password Protection zu nutzen, um die Verwendung von mehr als 3 Milliarden kompromittierten Kennworten zu verhindern.
NIST-Regeln| Regel | Wert |
|---|
| Mindestlänge | 8 |
| Ablehnung von Kennwörtern aus dem Wörterbuch* | Ja |
| Ablehnung von kompromittierten Kennwörtern** | Ja |
PCI V4
Beschreibung
Die Payment Card Industry Data Security Standards (PCI DSS) sind eine Reihe von Standards und Richtlinien für Unternehmen, die die Verwaltung und Sicherung von mit Kreditkarten zusammenhängenden personenbezogenen Daten regeln. Es handelt sich um einen globalen Standard, der von den größten Kreditkartenunternehmen – Visa, Mastercard und American – zusammengestellt wurde, um Kreditkartendaten vor Diebstahl zu schützen.
Die Empfehlungen von PCI-DSS konzentrieren sich vor allem auf den Aufbau von Kennwörtern und können mit einem externen Kennwortrichtlinientool wie Specops Password Policy mühelos umgesetzt werden.
Wenn Sie sich vor modernen Kennwortangriffen schützen möchten, können Sie das benutzerdefinierte Wörterbuch von Specops Password Policy nutzen, um die Verwendung von in Ihrem Unternehmen gebräuchlichen Kennworten zu verhindern. Mit Specops Breached Password Protection können Sie die Verwendung von mehr als 3 Milliarden kompromittierten Kennwörtern ablehnen.
PCI-Regeln| Regel | Wert |
|---|
| Mindestlänge | 7 |
| Maximales Alter | 90 Tage |
| Verwendung von Passphrasen* | Ja |
| Kennwortverlauf | 4 |
| Komplexität | Ziffern, Kleinbuchstaben |
CJIS
Beschreibung
Die Abteilung Criminal Justice Information Services (CJIS) des US Federal Bureau of Investigation (FBI) gewährt staatlichen, lokalen und nationalen Strafvervollgungs- und Justizbehörden Zugriff auf Strafverfolgungsdaten – wie etwa Fingerabdrücke und Vorstrafen.
Strafvervolgungsbehörden und andere staatliche Stellen in den Vereinigten Staaten müssen sicherstellen, dass sie bei der Nutzung von Cloud-Diensten zur Übertragung, Speicherung oder Verarbeitung von Strafverfolgungsdaten die CJIS-Sicherheitsrichtlinie einhalten, die Mindestsicherheitsvorgaben und Kontrollen zum Schutz dieser Daten vorgibt.
Die CJIS-Sicherheitsrichtlinie beinhaltet zwei Arten von Kennwortstandards – Basis und Erweitert. Der Bericht zeigt auf, inwieweit die Kennwortrichtlinien dem Basis-Standard entsprechen.
CJIS-Regeln| Regel | Wert |
|---|
| Mindestlänge | 8 |
| Mindestalter | 90 Tage |
| Ablehnung von Kennwörtern aus dem Wörterbuch* | Ja |
| Ablehnung von kompromittierten Kennwörtern** | Ja |
| Kennwortverlauf | 10 |
| Ablehnung von inkrementellen Kennwörtern* | Ja |
HITRUST
Beschreibung
Der Health Information Trust (HITRUST) ist ein Rahmenwerk, das eine Möglichkeit bietet, den oftmals vagen Standards zu genügen, die für die Gesundheitsbranche in den USA gelten, wie etwa dem Health Insurance Portability and Accountability Act (HIPAA).
HITRUST-Regeln| Regel | Wert |
|---|
| Mindestlänge | 8 |
| Maximales Alter | 90 Tage |
| Ablehnung von Kennwörtern aus dem Wörterbuch* | Ja |
| Ablehnung von kompromittierten Kennwörtern** | Ja |
| Kennwortverlauf | 4 |
| Ablehnung von inkrementellen Kennwörtern* | Ja |
| Komplexität | 2 aus Ziffer, Kleinbuchstabe, Sonderzeichen |
NCSC
Beschreibung
Das National Cyber Security Centre (NCSC) ist eine Organisation der britischen Regierung, deren bewährtes Akkreditierungssystem, Cyber Essentials, eine standardisierte Basis für Cybersicherheitsrichtlinien, Kontrollen und Technologien bietet.
Bei einem Hauptschwerpunkt auf einem für Anwender vereinfachten Prozess zur Kennworterstellung und dem Verschieben der Verantwortung zur Erstellung von starken Passwörtern auf Authentifizierungssysteme sind vor allem die Durchsetzung von Wörterbüchern und die Förderung der Nutzung von Passphrasen wichtige Komponenten des UK-Standards.
Specops Password Policy gibt Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, um in Ihrem Unternehmen gebräuchliche Worte abzulehnen, oder Breached Password Protection zu nutzen, um die Verwendung von mehr als 3 Milliarden kompromittierten Kennworten zu verhindern.
NCSC-Regeln| Regel | Wert |
|---|
| Mindestlänge | 8 |
| Verwendung von Passphrasen* | Ja |
| Ablehnung von Kennwörtern aus dem Wörterbuch* | Ja |
| Ablehnung von verletzten Kennworten** | Ja |
BSI
Beschreibung
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Behörde, die für die IT-Sicherheit der deutschen Bundesregierung zuständig ist.
Darüber hinaus fungiert das BSI auch als zentrale Zertifizierungsstelle für IT-Systeme. Das bedeutet, dass alle IT-Produkte oder IT-Systeme, die von der Bundesregierung verwendet werden sollen, den Sicherheitsstandards des BSI entsprechen müssen.
BSI-Regeln| Regel | Wert |
|---|
| Mindestlänge | 8 |
| Ablehnung von Kennwörtern aus dem Wörterbuch* | Ja |
| Ablehnung von kompromittierten Kennwörtern** | Ja |
| Kennwortverlauf | 4 |
| Komplexität | 2 aus Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe |
ANSSI
Beschreibung
Die Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ist Frankreichs nationale Behörde zur Unterstützung und Absicherung der Entwicklung digitaler Technologie.
Zu den Sicherheitsstandards der ANSSI gehören verschiedene Kennwortempfehlungen, wie eine Überprüfung anhand einer Liste bekanntermaßen kompromittierter Kennwörter und die Anregung zur Nutzung von Passphrasen.
ANSSI-Regeln| Regel | Wert |
|---|
| Mindestlänge | 15 |
| Verwendung von Passphrasen* | Ja |
| Ablehnung von Kennwörtern aus dem Wörterbuch* | Ja |
| Ablehnung von kompromittierten Kennwörtern** | Ja |
| Kennwortverlauf | 4 |
| Komplexität | 3 aus Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe |
CNIL
Beschreibung
Pauschale Vorschriften, wie etwa die Datenschutzgrundverordnung (DSGVO), haben den Datenschutz für globale Unternehmen zur Priorität gemacht. Gleichzeitig dringen weiterhin auch andere Aufsichtsbehörden auf die Umsetzung lokaler Datenschutzgesetze. In Frankreich etwa ist die zuständige Datenschutzbehörde die Commission nationale de l’informatique et des libertés (CNIL).
Die CNIL gibt Cybersicherheitsleitlinien zur Erfassung, Speicherung und Verwendung personenbezogener Daten heraus. Natürlich spielt dabei auch die Sicherheit von Kennwörtern eine große Rolle.
CNIL-Regeln| Regel | Wert |
|---|
| Mindestlänge | 12 |
| Ablehnung von kompromittierten Kennwörtern** | Ja |
| Komplexität | Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe |
