Die DSK-Orientierungshilfe zur Zugangssicherung (2019) legt konkrete technische Standards fest.
Passwortanforderungen
- Mindestens 10 Zeichen Länge
- Stärkeanzeige für den Nutzer ist Pflicht
- Kein regelmäßiger Passwortwechsel mehr erforderlich bei starken Passwörtern - nur bei Kompromittierung
- Passwörter dürfen NUR als Salted Hash gespeichert werden (nicht symmetrisch verschlüßelt oder im Klartext)
Zwei-Faktor-Authentifizierung (2FA)
- Muss angeboten werden
- Bei hohem Risiko (z.B. Gesundheitsdaten, Finanzdaten) ist 2FA PFLICHT
- Offene Verfahren (TOTP, WebAuthn) bevorzugt gegenüber SMS-basierter 2FA
Weitere Maßnahmen
- Fehlgeschlagene Anmeldeversuche registrieren und nach festgelegter Anzahl sperren
- Passwort-Reset nur per Einmal-Link mit kurzer Gültigkeitsdauer (maximal 1 Stunde)
- Authentifikations- und Nutzdaten logisch getrennt speichern
- Regelmäßige Penetrationstests durchführen
- Beschäftigte zu Social Engineering schulen