Compliance standards
Einige Organisationen sind verpflichtet, sich an eine oder mehrere Compliance-Standards für ihre Authentifizierungsrichtlinien zu halten. Specops Password Auditor bietet eine Möglichkeit, zu bewerten, wie gut Ihre Richtlinien im Vergleich zu verschiedenen Compliance-Standards wie NIST, NCSC und PCI abschneiden. Eine vollständige Liste der unterstützten Standards finden Sie im Abschnitt unten.
Der Bericht zur Passwort-Richtlinien-Compliance in Specops Password Auditor bietet einen Überblick über die Richtlinien in Ihrem Active Directory (oder dem Teil Ihres AD, den Sie zu Beginn Ihres Scans definiert haben). Password Auditor liefert Ergebnisse für die Standard-Domänen-Passwortrichtlinie, alle fein abgestuften Passwortrichtlinien sowie alle Specops Password Policy-Richtlinien (falls installiert).
Bericht zur Passwort-Richtlinien-Compliance
Dieser Bericht bietet einen Überblick über die Einhaltung von Industriestandards für jede Richtlinie. Jeder Standard hat unterschiedliche Kriterien für die Authentifizierung.
Compliance-Indikatoren
Der Bericht zur Passwort-Richtlinien-Compliance listet die Einhaltung von Industriestandards für jede Richtlinie anhand von Indikatoren auf.
- Rot: Nicht konform. Die Richtlinie erfüllt keines der vom Standard festgelegten Kriterien.
- Gelb: Teilweise konform. Die Richtlinie erfüllt einige, aber nicht alle der vom Standard festgelegten Kriterien.
- Grün: Vollständig konform. Die Richtlinie erfüllt alle vom Standard festgelegten Kriterien.
Einhaltung einzelner Standards anzeigen
- Klicken Sie auf einen der Compliance-Indikatoren
- Eine Tabelle wird angezeigt, in der jede Zeile eine Regel im Standard, die aktuelle Richtlinieneinstellung für diese Regel und die Anforderung des Standards darstellt.
Compliance-Übersicht anpassen
Sie können in der Übersicht beliebige Spalten ein- oder ausblenden.
- Klicken Sie auf das Dropdown-Menü Auswählen
- Entfernen Sie das Häkchen neben dem Standard, den Sie ausblenden möchten, oder setzen Sie ein Häkchen daneben, um ihn wieder anzuzeigen.
Entropie
Die Entropiespalte bezieht sich nicht speziell auf die beschriebenen Compliance-Standards. Stattdessen ist sie ein Maß dafür, wie „stark“ die von den verschiedenen Richtlinien erlaubten Passwörter sind.
Compliance-Standards
Specops Password Auditor bietet Unterstützung für die folgenden Standards:
Hinweis
Specops Password Auditor überprüft sowohl die integrierten Windows-Richtlinien als auch die mit Specops Password Policy erstellten (mit Specops Breached Password Protection).
Beispielsweise werden Standards, die verlangen, dass Benutzer keine Wörterbuchwörter verwenden (Passwörter aus dem Wörterbuch verbieten), als nicht konform markiert, wenn Specops Password Policy nicht verwendet wird oder wenn die Richtlinie in Specops Password Policy nicht so konfiguriert ist, dass sie das Kriterium erfüllt.
Die folgenden Tabellen zeigen, welche Compliance-Kriterien zusätzliche Richtlinien-Tools erfordern:
- *: Specops Password Policy
- **: Specops Breached Password Protection
NIST
Beschreibung
Das National Institute of Standards and Technology (NIST) legt die Informationssicherheitsstandards für Bundesbehörden in den Vereinigten Staaten fest.
Mit einem starken Fokus auf die Vereinfachung von Passwörtern für Benutzer und der Verlagerung der Verantwortung auf Authentifizierungssysteme ist die Durchsetzung von Wörterbüchern ein wichtiger Bestandteil der NIST-Empfehlungen.
Mit Specops Password Policy können Sie Ihr eigenes Wörterbuch erstellen, um Wörter zu blockieren, die in Ihrer Organisation häufig vorkommen, oder Specops Breached Password Protection verwenden, um die Verwendung von über 3 Milliarden kompromittierten Passwörtern zu blockieren.
| Regel | Wert |
|---|---|
| Minimale Länge | 8 |
| Passwörter aus dem Wörterbuch verbieten* | Ja |
| Kompromittierte Passwörter verbieten** | Ja |
PCI V4
Beschreibung
Die Payment Card Industry Data Security Standards (PCI DSS) sind eine Reihe von Standards und Richtlinien für Unternehmen, um Kreditkartenbezogene persönliche Daten zu verwalten und zu sichern. Es ist ein globaler Standard, der von den großen Kreditkartenunternehmen – Visa, Mastercard und American – etabliert wurde, um Kreditkartendaten vor Diebstahl zu schützen.
Die PCI-DSS-Anforderungen konzentrieren sich stark auf die Zusammensetzung von Passwörtern und können leicht mit einem Drittanbieter-Passwortrichtlinien-Tool wie Specops Password Policy erreicht werden.
Wenn Sie sich gegen moderne Passwortangriffe schützen möchten, können Sie das benutzerdefinierte Wörterbuch von Specops Password Policy verwenden, um die Verwendung von Passwörtern zu verhindern, die in Ihrer Organisation häufig vorkommen. Mit Specops Breached Password Protection können Sie die Verwendung von über 3 Milliarden kompromittierten Passwörtern blockieren.
| Regel | Wert |
|---|---|
| Minimale Länge | 7 |
| Maximales Alter | 90 Tage |
| Passphrase verwenden* | Ja |
| Passwortverlauf | 4 |
| Komplexität | Ziffer, Kleinbuchstaben |
CJIS
Beschreibung
Die Criminal Justice Information Services (CJIS) Division des US Federal Bureau of Investigation (FBI) gibt staatlichen, lokalen und föderalen Strafverfolgungs- und Justizbehörden Zugang zu Informationen der Strafjustiz (CJI) – zum Beispiel Fingerabdruckaufzeichnungen und Strafregister.
Strafverfolgungsbehörden und andere Regierungsbehörden in den Vereinigten Staaten müssen sicherstellen, dass ihre Nutzung von Cloud-Diensten für die Übertragung, Speicherung oder Verarbeitung von CJI mit der CJIS-Sicherheitspolitik übereinstimmt, die Mindestanforderungen und Kontrollen zur Sicherung von CJI festlegt.
Die CJIS-Sicherheitspolitik skizziert zwei Sätze von Passwortstandards – Basic und Advanced. Der hier gezeigte Bericht zeigt, wie Passwortrichtlinien im Vergleich zum Basic-Standard abschneiden.
| Regel | Wert |
|---|---|
| Minimale Länge | 8 |
| Minimales Alter | 90 Tage |
| Passwörter aus dem Wörterbuch verbieten* | Ja |
| Kompromittierte Passwörter verbieten** | Ja |
| Passwortverlauf | 10 |
| Inkrementelle Passwörter verbieten* | Ja |
HITRUST
Beschreibung
Das Health Information Trust (HITRUST) ist ein Rahmenwerk, das eine Möglichkeit bietet, die oft vagen Standards zu erfüllen, die für die Gesundheitsbranche in den Vereinigten Staaten gelten, wie zum Beispiel das Health Insurance Portability and Accountability Act (HIPAA).
| Regel | Wert |
|---|---|
| Minimale Länge | 8 |
| Maximales Alter | 90 Tage |
| Passwörter aus dem Wörterbuch verbieten* | Ja |
| Kompromittierte Passwörter verbieten** | Ja |
| Passwortverlauf | 4 |
| Inkrementelle Passwörter verbieten* | Ja |
| Komplexität | 2 von Ziffer, Kleinbuchstaben, Sonderzeichen |
NCSC
Beschreibung
Das National Cyber Security Centre (NCSC) ist eine Organisation der britischen Regierung, deren genehmigtes Akkreditierungsschema, Cyber Essentials, eine standardisierte Grundlage für Cybersicherheitsrichtlinien, -kontrollen und -technologien bietet.
Mit einem starken Fokus auf die Vereinfachung von Passwörtern für Benutzer und der Verlagerung der Verantwortung auf Authentifizierungssysteme sind die Durchsetzung von Wörterbüchern und die Förderung der Verwendung von Passphrasen wichtige Bestandteile des britischen Standards.
Mit Specops Password Policy können Sie Ihr eigenes Wörterbuch erstellen, um Wörter zu blockieren, die in Ihrer Organisation häufig vorkommen, oder Specops Breached Password Protection verwenden, um die Verwendung von über 3 Milliarden kompromittierten Passwörtern zu blockieren.
| Regel | Wert |
|---|---|
| Minimale Länge | 8 |
| Passphrase verwenden* | Ja |
| Passwörter aus dem Wörterbuch verbieten* | Ja |
| Kompromittierte Passwörter verbieten** | Ja |
BSI
Beschreibung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Behörde, die für die Informationssicherheit der deutschen Bundesregierung verantwortlich ist.
Das BSI ist auch die zentrale Zertifizierungsstelle für IT-Systeme. Das bedeutet, dass jedes IT-Produkt oder -System, das von der Bundesregierung verwendet werden soll, die Sicherheitsstandards des BSI erfüllen muss.
| Regel | Wert |
|---|---|
| Minimale Länge | 8 |
| Passwörter aus dem Wörterbuch verbieten* | Ja |
| Kompromittierte Passwörter verbieten** | Ja |
| Passwortverlauf | 4 |
| Komplexität | 2 von Ziffer, Kleinbuchstaben, Sonderzeichen, Großbuchstaben |
ANSSI
Beschreibung
Die National Agency for the Security of Information Systems (ANSSI) ist die nationale Behörde Frankreichs, die mit der Unterstützung und Sicherung der Entwicklung digitaler Technologien beauftragt ist.
Der ANSSI-Sicherheitsstandard umfasst mehrere Passwortempfehlungen, einschließlich der Überprüfung gegen eine Liste bekannter kompromittierter Passwörter und der Förderung der Verwendung von Passphrasen.
| Regel | Wert |
|---|---|
| Minimale Länge | 15 |
| Passphrase verwenden* | Ja |
| Passwörter aus dem Wörterbuch verbieten* | Ja |
| Kompromittierte Passwörter verbieten** | Ja |
| Passwortverlauf | 4 |
| Komplexität | 3 von Ziffer, Kleinbuchstaben, Sonderzeichen, Großbuchstaben |
CNIL
Beschreibung
Datenschutz ist für globale Unternehmen aufgrund umfassender Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) zu einer Priorität geworden. Gleichzeitig setzen andere Regulierungsbehörden weiterhin lokale Datenschutzgesetze durch. In Frankreich ist beispielsweise die Datenschutzbehörde die Commission nationale de l’informatique et des libertés (CNIL).
Die CNIL bietet Cybersicherheitsrichtlinien im Zusammenhang mit dem Sammeln, Speichern und Verwenden persönlicher Daten. Natürlich ist die Sicherung von Passwörtern ein wichtiger Teil der Richtlinien.
| Regel | Wert |
|---|---|
| Minimale Länge | 12 |
| Kompromittierte Passwörter verbieten** | Ja |
| Komplexität | Ziffer, Kleinbuchstaben, Sonderzeichen, Großbuchstaben |