Specops Password Auditor unterstützt die folgenden Standards:
HINWEIS
Specops Password Auditor aktiviert sowohl die integrierten Windows-Richtlinien als auch diejenigen, die mit Specops Password Policy erstellt wurden (mit Specops Breached Password Protection).
So werden beispielsweise Standards, bei denen Benutzern bestimmte Worte aus dem Wörterbuch untersagt werden (Ablehnung von Kennwörtern aus dem Wörterbuch), als nicht konform gekennzeichnet, wenn Specops Password Policy nicht verwendet wird oder die Richtlinie in Specops Password Policy nicht so konfiguriert wurde, dass sie dem Kriterium entspricht.
Die unten stehenden Tabellen verdeutlichen, welche Compliance-Kriterien zusätzliche Richtlinientools erfordern:
- *: Specops Password Policy
- **: Specops Breached Password Protection
NIST
Beschreibung
Das National Institute of Standards and Technology (NIST) gibt die Informationssicherheitsstandards für Bundesbehörden in den Vereinigten Staaten von Amerika vor.
Mit dem Hauptschwerpunkt auf einem für Anwender vereinfachten Prozess zur Kennworterstellung und dem Verschieben der Verantwortung zur Erstellung von starken Passwörtern auf Authentifizierungssysteme, stellt die Durchsetzung von Wörterbüchern
eine wichtige Komponente der NIST-Empfehlungen dar.
Specops Password Policy gibt Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, um in Ihrem Unternehmen gebräuchliche Worte abzulehnen, oder Breached Password Protection zu nutzen, um die Verwendung von mehr als 3 Milliarden kompromittierten Kennworten
zu verhindern.
NIST-Regeln
Regel |
Wert |
Mindestlänge |
8 |
Ablehnung von Kennwörtern aus dem Wörterbuch* |
Ja |
Ablehnung von kompromittierten Kennwörtern** |
Ja |
Ablehnung von inkrementellen Kennwörtern* |
Ja |
PCI V4
Beschreibung
Die Payment Card Industry Data Security Standards (PCI DSS) sind eine Reihe von Standards und Richtlinien für Unternehmen, die die Verwaltung und Sicherung von mit Kreditkarten zusammenhängenden personenbezogenen Daten regeln. Es handelt sich
um einen globalen Standard, der von den größten Kreditkartenunternehmen – Visa, Mastercard und American – zusammengestellt wurde, um Kreditkartendaten vor Diebstahl zu schützen.
Die Empfehlungen von PCI-DSS konzentrieren sich vor allem auf den Aufbau von Kennwörtern und können mit einem externen Kennwortrichtlinientool wie
Specops Password Policy mühelos umgesetzt werden.
Wenn Sie sich vor modernen Kennwortangriffen schützen möchten, können Sie das benutzerdefinierte Wörterbuch von
Specops Password Policy nutzen, um die Verwendung von in Ihrem Unternehmen gebräuchlichen Kennworten zu verhindern. Mit
Specops Breached Password Protection können Sie die Verwendung von mehr als 3 Milliarden kompromittierten Kennwörtern ablehnen.
PCI-Regeln
Regel |
Wert |
Mindestlänge |
7 |
Maximales Alter |
90 Tage |
Verwendung von Passphrasen* |
Ja |
Kennwortverlauf |
4 |
Komplexität |
Ziffern, Kleinbuchstaben |
CJIS
Beschreibung
Die Abteilung Criminal Justice Information Services (CJIS) des US Federal Bureau of Investigation (FBI) gewährt staatlichen, lokalen und nationalen Strafvervollgungs- und Justizbehörden Zugriff auf Strafverfolgungsdaten – wie etwa Fingerabdrücke
und Vorstrafen.
Strafvervolgungsbehörden und andere staatliche Stellen in den Vereinigten Staaten müssen sicherstellen, dass sie bei der Nutzung von Cloud-Diensten zur Übertragung, Speicherung oder Verarbeitung von Strafverfolgungsdaten die CJIS-Sicherheitsrichtlinie
einhalten, die Mindestsicherheitsvorgaben und Kontrollen zum Schutz dieser Daten vorgibt.
Die CJIS-Sicherheitsrichtlinie beinhaltet zwei Arten von Kennwortstandards – Basis und Erweitert. Der Bericht zeigt auf, inwieweit die Kennwortrichtlinien dem Basis-Standard entsprechen.
CJIS-Regeln
Regel |
Wert |
Mindestlänge |
8 |
Mindestalter |
90 Tage |
Ablehnung von Kennwörtern aus dem Wörterbuch* |
Ja |
Ablehnung von kompromittierten Kennwörtern** |
Ja |
Kennwortverlauf |
10 |
Ablehnung von inkrementellen Kennwörtern* |
Ja |
HITRUST
Beschreibung
Der Health Information Trust (HITRUST) ist ein Rahmenwerk, das eine Möglichkeit bietet, den oftmals vagen Standards zu genügen, die für die Gesundheitsbranche in den USA gelten, wie etwa dem Health Insurance Portability and Accountability
Act (HIPAA).
HITRUST-Regeln
Regel |
Wert |
Mindestlänge |
8 |
Maximales Alter |
90 Tage |
Ablehnung von Kennwörtern aus dem Wörterbuch* |
Ja |
Ablehnung von kompromittierten Kennwörtern** |
Ja |
Kennwortverlauf |
4 |
Ablehnung von inkrementellen Kennwörtern* |
Ja |
Komplexität |
2 aus Ziffer, Kleinbuchstabe, Sonderzeichen |
NCSC
Beschreibung
Das National Cyber Security Centre (NCSC) ist eine Organisation der britischen Regierung, deren bewährtes Akkreditierungssystem, Cyber Essentials, eine standardisierte Basis für Cybersicherheitsrichtlinien, Kontrollen und Technologien bietet.
Bei einem Hauptschwerpunkt auf einem für Anwender vereinfachten Prozess zur Kennworterstellung und dem Verschieben der Verantwortung zur Erstellung von starken Passwörtern auf Authentifizierungssysteme sind vor allem die Durchsetzung von Wörterbüchern
und die Förderung der Nutzung von Passphrasen wichtige Komponenten des UK-Standards.
Specops Password Policy gibt Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, um in Ihrem Unternehmen gebräuchliche Worte abzulehnen, oder Breached Password Protection zu nutzen, um die Verwendung von mehr als 3 Milliarden kompromittierten Kennworten
zu verhindern.
NCSC-Regeln
Regel |
Wert |
Mindestlänge |
8 |
Verwendung von Passphrasen* |
Ja |
Ablehnung von Kennwörtern aus dem Wörterbuch* |
Ja |
Ablehnung von verletzten Kennworten** |
Ja |
BSI
Beschreibung
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Behörde, die für die IT-Sicherheit der deutschen Bundesregierung zuständig ist.
Darüber hinaus fungiert das BSI auch als zentrale Zertifizierungsstelle für IT-Systeme. Das bedeutet, dass alle IT-Produkte oder IT-Systeme, die von der Bundesregierung verwendet werden sollen, den Sicherheitsstandards des BSI entsprechen
müssen.
BSI-Regeln
Regel |
Wert |
Mindestlänge |
8 |
Ablehnung von Kennwörtern aus dem Wörterbuch* |
Ja |
Ablehnung von kompromittierten Kennwörtern** |
Ja |
Kennwortverlauf |
4 |
Komplexität |
2 aus Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe |
ANSSI
Beschreibung
Die Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ist Frankreichs nationale Behörde zur Unterstützung und Absicherung der Entwicklung digitaler Technologie.
Zu den Sicherheitsstandards der ANSSI gehören verschiedene Kennwortempfehlungen, wie eine Überprüfung anhand einer Liste bekanntermaßen kompromittierter Kennwörter und die Anregung zur Nutzung von Passphrasen.
ANSSI-Regeln
Regel |
Wert |
Mindestlänge |
15 |
Verwendung von Passphrasen* |
Ja |
Ablehnung von Kennwörtern aus dem Wörterbuch* |
Ja |
Ablehnung von kompromittierten Kennwörtern** |
Ja |
Kennwortverlauf |
4 |
Komplexität |
3 aus Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe |
CNIL
Beschreibung
Pauschale Vorschriften, wie etwa die Datenschutzgrundverordnung (DSGVO), haben den Datenschutz für globale Unternehmen zur Priorität gemacht. Gleichzeitig dringen weiterhin auch andere Aufsichtsbehörden auf die Umsetzung lokaler Datenschutzgesetze.
In Frankreich etwa ist die zuständige Datenschutzbehörde die Commission nationale de l’informatique et des libertés (CNIL).
Die CNIL gibt Cybersicherheitsleitlinien zur Erfassung, Speicherung und Verwendung personenbezogener Daten heraus. Natürlich spielt dabei auch die Sicherheit von Kennwörtern eine große Rolle.
CNIL-Regeln
Regel |
Wert |
Mindestlänge |
12 |
Ablehnung von kompromittierten Kennwörtern** |
Ja |
Komplexität |
Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe |