Prowise setzt strenge Passwortrichtlinien ein, um die Sicherheit der Benutzerkonten zu gewährleisten. Wir verwenden ein mehrstufiges Validierungssystem, um Passwörter auf Stärke, bekannte Datenschutzverletzungen und die Einhaltung wichtiger Sicherheitsrichtlinien zu überprüfen. Dieses Dokument beschreibt diese Regeln sowie die dahinterliegenden Gründe.
Passwortanforderungen
Wenn Sie ein Passwort bei Prowise einrichten oder ändern, muss es die folgenden Kriterien erfüllen:
A. Grundlegende Komplexitätsanforderungen
-
Mindestens 8 Zeichen lang
-
Muss mindestens drei der folgenden Zeichentypen enthalten:
-
Kleinbuchstaben (a–z)
-
Großbuchstaben (A–Z)
-
Zahlen (0–9)
-
Sonderzeichen (!@#$%^&*...)
-
Wir empfehlen die Verwendung einer Passphrase, da diese sowohl sicherer als auch leichter zu merken ist.
B. Stärkekontrolle: Zxcvbn-Analyse
Um schwache Passwörter zu vermeiden, nutzt Prowise die Zxcvbn-Passwortstärkebewertung. Diese bewertet, wie leicht ein Passwort zu erraten ist:
-
Ein Passwort muss mindestens eine Bewertung von 2 von 4 erreichen, um akzeptiert zu werden.
-
Wenn die Bewertung 0 oder 1 beträgt, gilt das Passwort als unsicher und wird abgelehnt.
Warum verwenden wir Zxcvbn?
Traditionelle Komplexitätsregeln (z. B. obligatorische Großbuchstaben oder Zahlen) führen oft zu vorhersehbaren Mustern. Zxcvbn bewertet Passwörter basierend auf:
-
Häufig verwendeten Wörtern und Phrasen
-
Tastaturmustern (z. B. „qwerty123“)
-
Wiederverwendeten Zeichenfolgen
-
Kontextbezogenen Elementen wie Namen oder Daten
Beispiel für eine Ablehnung:
Passwort: „Willkommen01“
Bewertung: 1 (Abgelehnt)
Grund: Dies ist ein häufig verwendetes Passwort
Angriffszeit (offline, schneller Hashing-Algorithmus): Weniger als eine Sekunde
C. Datenschutzprüfung: Integration von Have I Been Pwned
Um zu verhindern, dass Benutzer bereits kompromittierte Passwörter verwenden, integriert Prowise Have I Been Pwned (HIBP):
-
Wenn ein Passwort eingerichtet wird, wird es sicher und anonym mit einer Datenbank kompromittierter Passwörter abgeglichen
-
Falls das Passwort in bekannten Datenschutzverletzungen vorkommt, erhalten Sie die Fehlermeldung:
„Dieses Passwort wurde bereits geleakt und darf nicht verwendet werden.“ -
In diesem Fall müssen Sie ein vollständig neues Passwort wählen
Warum überprüfen wir geleakte Passwörter?
Geleakte Passwörter werden häufig für sogenannte Credential-Stuffing-Angriffe verwendet. Selbst ein scheinbar starkes Passwort wie „P@ssword123“ kann unsicher sein, wenn es bereits durch ein Datenleck bekannt wurde.
D. Einhaltung der NIST-Richtlinien
Prowise folgt den Richtlinien des National Institute of Standards and Technology (NIST), speziell der Special Publication 800-63B:
-
Keine obligatorischen regelmäßigen Passwortänderungen: Häufige Änderungen führen oft zu schwächeren Passwörtern
-
Erlaubte lange Passphrasen: Benutzer können längere, leicht zu merkende Passwörter erstellen, statt kurze, schwer zu merkende Kombinationen
-
Überprüfung auf Datenschutzverletzungen: So wird die Wiederverwendung kompromittierter Passwörter verhindert
-
Keine unnötigen Komplexitätsanforderungen: Statt erzwungener Sonderzeichen oder Zahlen wird ein Passwort auf tatsächliche Stärke geprüft
E. Sicherheitstipps und bewährte Verfahren
-
Verwenden Sie niemals dasselbe Passwort für mehrere Dienste
-
Nutzen Sie einen Passwort-Manager, um sichere Passwörter zu generieren und zu speichern
-
Vermeiden Sie vorhersehbare Änderungen (z. B. „Passwort1!“ oder „Sommer2024!“)
-
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für zusätzliche Sicherheit
Fehlermeldungen und Problembehandlung
Falls Ihr Passwort abgelehnt wird, überprüfen Sie Folgendes:
„Passwort ist unsicher“ → Das Passwort ist laut Zxcvbn zu schwach; verwenden Sie eine längere Passphrase mit einzigartigen Wörtern
„Dieses Passwort wurde bereits geleakt“ → Wählen Sie ein vollständig anderes Passwort
„Passwort entspricht nicht den Anforderungen“ → Stellen Sie sicher, dass das Passwort drei der vier erforderlichen Zeichentypen enthält und mindestens 8 Zeichen lang ist
Weitere Sicherheitsrichtlinien finden Sie unter „Wie stelle ich ein Konto wieder her?“ oder kontaktieren Sie den Prowise Service.