Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
NIST-Passwortrichtlinien: Was Sie wissen müssen

NIST-Passwortrichtlinien: Was Sie wissen müssen

Aug 13, 2024

Das National Institute of Standards and Technology (NIST) unterstützt Organisationen bei der Implementierung von Best Practices in ihren Abläufen, einschließlich der Cybersicherheit. Insbesondere werden die Richtlinien von NIST für Passwörter als Goldstandard für die Erstellung und Verwaltung solider Passwortrichtlinien angesehen.

Dieser Artikel erläutert die aktuellen NIST-Passwortrichtlinien, die in der Spezialpublikation 800-63B, „Digital Identity Guidelines“, detailliert beschrieben sind, und wie Organisationen sie umsetzen können, um ihre Cybersicherheitsstrategie zu stärken.

Die Entwicklung der NIST-Passwortrichtlinien

Die erste Version der NIST 800-63 Passwortrichtlinien wurde 2014 veröffentlicht. Der aktuelle Standard ist Version 3, die 2019 herausgegeben und 2020 aktualisiert wurde. Eine vierte Überarbeitung (NIST Passwortrichtlinien 2024) ist in Arbeit, um auf die sich entwickelnde Angriffslandschaft zu reagieren.

Ein Hauptgrund dafür, dass das NIST seine Passwortrichtlinien im Laufe der Zeit geändert hat, ist die Beobachtung des tatsächlichen Benutzerverhaltens. Insbesondere können strenge Passwortregeln zwar die Sicherheit zu erhöhen scheinen, aber sie können die Benutzer überfordern und dazu führen, dass sie Praktiken annehmen, die die Sicherheit tatsächlich beeinträchtigen.

Zum Beispiel kann das Erfordernis für Nutzer, hochkomplexe Passwörter auszuwählen und diese häufig zu ändern, mehr schaden als nützen — Nutzer, die bestrebt sind, die Frustration von Kontosperrungen zu vermeiden, könnten dazu übergehen, ihre Passwörter aufzuschreiben und direkt neben ihren Schreibtischen aufzubewahren. Demzufolge strebt das NIST nun danach, benutzerfreundlichere Best Practices zu fördern, die die Gesamtsicherheit verbessern.

Schlüsselbegriffe

Die Abschnitte der NIST-Sonderpublikation werden als informativ, normativ oder beides präsentiert. Informativ Material soll dem Leser helfen, Konzepte zu verstehen. Normativ Inhalt bietet Empfehlungen, die ein Unternehmen bei der Erstellung von password policies verwenden sollte. Achten Sie besonders auf die folgenden Schlüsselbegriffe:

  • Sollen und sollen nicht — Bezeichnen Handlungen, die NIST von Organisationen verlangt (oder nicht verlangt)
  • Sollte und sollte nicht —zeigen an, dass NIST eine Aktion empfiehlt (oder davon abrät)
  • Mai und darf nicht — Zeigen an, dass eine Handlung erlaubt (oder nicht erlaubt) ist
  • Können und nicht können — Zeigen eine Möglichkeit oder Fähigkeit (oder deren Fehlen) an, sei es physisch, kausal oder materiell

Erfüllen Sie die NIST-Anforderungen mit Netwrix

NIST-Passwortrichtlinien

Die Kernkomponenten der NIST-Passwortempfehlungen lassen sich in zwei Bereiche unterteilen:

  • Passwortzusammensetzung, die Länge und Komplexitätsanforderungen für sichere Passwörter umfasst.
  • Passwortmanagement, das Themen wie Passwortablauf, Sperrrichtlinien und die Verwendung von Passwort-Managern abdeckt.


Zusammensetzung des Passworts

Ein wesentlicher Unterschied zwischen den älteren NIST-Passwortrichtlinien und den aktuellen Empfehlungen ist die Priorisierung der Passwortlänge gegenüber der Komplexität. Der Grund ist einfach: Während Komplexitätsanforderungen Passwörter zwar schwerer zu erraten oder zu knacken machen, führen sie oft dazu, dass Benutzer zu riskanten Praktiken wie dem Aufschreiben ihrer Passwörter greifen. Längenanforderungen erreichen viele der Sicherheitsvorteile ohne den Nachteil, da Benutzer starke Passphrasen wählen können, die leicht zu merken und zu tippen sind.

Entsprechend beinhalten die NIST-Passwortrichtlinien 2023 die folgenden Längen- und Komplexitätsanforderungen:

  • Mindestlänge — Benutzererstellte Passwörter müssen mindestens 8 Zeichen lang sein und automatisch erstellte Passwörter mindestens 6. Zuvor war die Mindestlänge für beide 6.
  • Maximale Länge — Sowohl von Benutzern erstellte als auch automatisch generierte Passwörter müssen eine maximale Länge von 64 Zeichen haben.
  • Passwortkomplexität — Frühere NIST-Richtlinien forderten, dass Passwörter Sonderzeichen enthalten und bestimmte Zeichen, wie Leerzeichen und Emojis, verbieten. Jetzt empfiehlt NIST keine Komplexitätsanforderungen mehr, sondern erlaubt jegliche Zeichen des American Standard Code for Information Interchange (ASCII).

Password Management

Die aktuelle NIST-Publikation bietet auch überarbeitete Richtlinien für das Passwortsicherheitsmanagement. Die wichtigsten Änderungen betreffen Folgendes:

  • Passwortänderungen — Früher zwangen die Passwortablaufanforderungen des NIST die Benutzer dazu, ihr Passwort regelmäßig zu ändern. Jedoch empfiehlt das NIST aufgrund nachfolgender Forschungen nun, Benutzer nur dann zur Passwortänderung aufzufordern, wenn es einen spezifischen Grund gibt, wie zum Beispiel einen Kompromiss des Kontos.
  • Passworthistorie—Organisationen wird empfohlen, ein vom Benutzer vorgeschlagenes neues Passwort mit den alten zu vergleichen, um ausreichende Originalität zu gewährleisten.
  • Passwortüberprüfung — NIST fordert von Organisationen, dass vorgeschlagene neue Passwörter gegen eine Schwarze Liste verbotener Passwörter geprüft werden. Diese Passwortlisten können Zugangsdaten enthalten, die bei früheren Sicherheitsverletzungen kompromittiert wurden, Wörter aus dem Wörterbuch, Passwörter mit wiederholenden oder aufeinanderfolgenden Zeichen wie „12345“ oder „aaaa“ und kontextspezifische Wörter wie den Namen des Benutzers oder des Unternehmens.
  • Kontosperrungen — NIST 800-63B empfiehlt, dass Konten nach nicht weniger als 10 fehlgeschlagenen Anmeldeversuchen gesperrt werden.
  • Passwortspeicherung — NIST fordert die Verwendung von Passwort-Hashing und Salting, um Passwort-Rateverfahren für Angreifer prohibitiv kostspielig zu machen.
  • Passworthinweise — Aktuelle NIST-Passwortrichtlinien raten Organisationen davon ab, Passworthinweise zuzulassen (z. B. „In welchem Jahr wurden Sie geboren?“), da sie es Hackern erleichtern können, das Passwort eines Benutzers zu erraten.

Best Practices für die Implementierung der NIST Password Guidance

Die NIST-Richtlinien bieten wertvolle Einblicke, um IT-Systeme, Dienste und Daten vor Cyberbedrohungen zu schützen. Hier sind einige wichtige Best Practices, denen man folgen sollte:

  • Seien Sie praktisch. Wie wir gesehen haben, sind übermäßig strenge Passwortanforderungen oft kontraproduktiv. Darüber hinaus verbessern sie die Sicherheit möglicherweise nicht so stark wie beabsichtigt. Zum Beispiel stellt das NIST fest, dass Passwortkomplexität und Längenanforderungen nicht dabei helfen, sich gegen Keylogging, Phishing und Social-Engineering-Angriffe zu verteidigen.
  • Bieten Sie einen Passwort-Manager an. NIST-Richtlinien ermutigen Organisationen dazu, ihren Nutzern die Verwendung von Passwort-Managern zu erlauben, da diese Tools es den Nutzern leicht machen, lange und komplexe Passwörter zu wählen, ohne Angst haben zu müssen, sie zu vergessen und ausgesperrt zu werden. Mit einem Passwort-Manager können Sie die Längen- und Komplexitätsanforderungen, die für Ihre Organisation am besten geeignet sind, selbstbewusst übernehmen.
  • Verbessern Sie die Authentifizierung — Die meisten Organisationen verwenden immer noch Passwörter als primären Authentifizierungsfaktor. NIST erinnert Organisationen daran, dass wissensbasierte Authentifizierung (Aufforderung eines Benutzers, Fragen zu beantworten) keine akzeptable Methode der Authentifizierung ist. Außerdem sind biometrische Merkmale wie Fingerabdrücke allein keine ausreichende Form der Authentifizierung, obwohl sie in der Multifaktorauthentifizierung verwendet werden können. NIST-Richtlinien raten davon ab, SMS-Nachrichten in der Multifaktorauthentifizierung zu verwenden.
  • Verfolgen Sie einen gründlichen Ansatz in der Sicherheit. Starke Passwortrichtlinien sind für jede Organisation wichtig, aber sie sind nur eine Komponente einer umfassenden Cybersicherheitsstrategie. Stellen Sie sicher, dass Sie auch andere grundlegende Sicherheitspraktiken implementieren, wie zum Beispiel die rigorose Durchsetzung des principle of least privilege um den Zugriff auf sensible Daten und Systeme strikt zu kontrollieren.

Wie Netwrix helfen kann


Die richtige Auswahl an Werkzeugen kann Sie dabei unterstützen, die Einhaltung der NIST-Passwortrichtlinien schneller und effektiver zu erreichen. Zur Unterstützung bietet Netwrix eine robuste password management solution. Zu den Schlüsselprodukten gehören:

  • Netwrix Password Policy Enforcer, der es einfach macht, leistungsstarke und dennoch flexible Passwortrichtlinien zu erstellen, während er den Benutzern eine positive Erfahrung bietet.
  • Netwrix Directory Manager, der es Benutzern ermöglicht, ihre eigenen Passwörter zurückzusetzen und ihre Konten zu entsperren, wodurch Helpdesk-Kosten und Benutzerfrustration erheblich reduziert werden.
  • Netwrix Password Secure, das es Benutzern ermöglicht, ihre Passwörter sicher zu verwalten und Administratoren, den privilegierten Zugriff zu steuern und die Passwortnutzung zu überwachen.

Fazit

Die NIST-Richtlinien sind der Goldstandard für Passwortzusammensetzung und Passwortmanagementrichtlinien, die sensible Systeme und Daten schützen. Wesentliche Änderungen gegenüber älteren Empfehlungen beinhalten die Betonung der Länge über die Komplexität und das Weglassen der regelmäßigen Passwortrotation.


FAQ

Was sind die NIST-Richtlinien für Passwortrichtlinien?


NIST 800-63B, „Digitale Identitätsrichtlinien“, bietet Empfehlungen zur Passwortzusammensetzung und Passwortverwaltung. Die aktuelle NIST-Richtlinie umfasst Folgendes:

  • Bevorzugen Sie Länge über Komplexität.
  • Benutzererstellte Passwörter müssen 8–64 Zeichen lang sein und automatisch generierte Passwörter 6–64 Zeichen.
  • Erlauben Sie die Verwendung aller ASCII-Zeichen, einschließlich Leerzeichen und Emojis.
  • Überprüfen Sie die neuen Passwörter des Kandidaten anhand einer Liste schwacher und kompromittierter Passwörter.
  • Verbieten Sie Passworthinweise.

Was ist die NIST 800-63 Passwortrichtlinie?

Die NIST 800-63B Passwortrichtlinien, betitelt als „Digital Identity Guidelines“, dienen als Rahmenwerk, um Organisationen bei der Implementierung von Best Practices für Passwörter zu unterstützen.


Empfiehlt NIST das Ablaufen von Passwörtern?

Nein, NIST empfiehlt nicht mehr, dass Benutzer regelmäßig ihre Passwörter ändern müssen, da Passwortablauf-Richtlinien oft dazu führen, dass Benutzer unsichere Praktiken wie das Aufschreiben ihrer Passwörter anwenden. Stattdessen sollten Organisationen eine Passwortänderung nur aus einem triftigen Grund verlangen, wie zum Beispiel bei einem Kompromiss des Kontos.


Was sind die Passwortrichtlinien für NIST 800-171?

NIST 800-171 Passwortrichtlinien sind detailliert in NIST Special Publication 800-171 Revision 3, „Schutz von kontrollierten nicht klassifizierten Informationen in nichtföderalen Systemen und Organisationen.“

Was sind die Passwortstandards für 2024?


Die NIST-Passwortrichtlinien legen Standards für eine Vielzahl von passwortbezogenen Anwendungen fest, einschließlich, aber nicht beschränkt auf:

  • Die Entfernung der wissensbasierten Authentifizierung
  • Akzeptanz von Zeichen wie Emojis oder der Leertaste
  • Akzeptanz von Passwort-Managern
  • Entfernen von Passwortablaufdaten und Hinweisen
  • Länge vor Komplexität bevorzugen
  • Festlegen von Mindest- und Höchstlängen für automatisch generierte und benutzerdefinierte Passwörter

Wie lang sollten Passwörter im Jahr 2024 sein?

Die NIST-Passwortrichtlinien besagen, dass benutzergenerierte Passwörter acht bis 64 Zeichen lang sein sollten, während automatisch generierte Passwörter sechs bis 64 Zeichen lang sein sollten.

Erfahren Sie, wie Sie das Ablaufen von Passwörtern verhindern

Mehr erfahren

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Joe Dibley

Sicherheitsforscher

Security Researcher bei Netwrix und Mitglied des Netwrix Security Research Teams. Joe ist ein Experte für Active Directory, Windows und eine Vielzahl von Unternehmenssoftwareplattformen und -technologien. Joe erforscht neue Sicherheitsrisiken, komplexe Angriffstechniken sowie zugehörige Milderungs- und Erkennungsmaßnahmen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen