Die DSK-OH Zugangssicherung (März 2019) stellt konkrete Anforderungen an die Passwortsicherheit bei Online-Diensten.
Passwortanforderungen: Passwörter müßen mindestens 10 Zeichen lang sein. Eine Passwortstärkeanzeige ist Pflicht. Kein regelmäßiger Passwortwechsel mehr erforderlich bei starken Passwörtern - nur bei Kompromittierung. Passwörter dürfen außchließlich als Salted Hash gespeichert werden, niemals im Klartext oder symmetrisch verschlüßelt.
Zwei-Faktor-Authentisierung (2FA): Muss angeboten werden. Bei hohem Risiko (z.B. Zugang zu Gesundheitsdaten oder Finanzdaten) ist 2FA Pflicht. Offene Verfahren (TOTP, WebAuthn) sind gegenüber SMS-basierter 2FA vorzuziehen.
Fehlgeschlagene Anmeldeversuche: Müßen registriert werden. Nach einer festgelegten Anzahl von Fehlversuchen ist das Konto zu sperren oder eine Verzögerung einzuführen.
Passwort-Reset: Nur per Einmal-Link mit kurzer Gültigkeitsdauer (maximal 1 Stunde). Authentifikations- und Nutzdaten sind logisch getrennt zu speichern.