PCI-Passwortanforderungen wurden eingeführt, da die Kreditkartenindustrie erkannt hat, dass mehr getan werden kann und sollte, um die Privatsphäre und Sicherheit der Verbraucher zu schützen. Diese Passwortanforderungen gehen nun in ihr drittes Jahrzehnt praktischer Anwendung, und sie konzentrieren sich auf die Gewährleistung sicherer Verfahren zur Generierung, Verwendung und Speicherung von Passwörtern.
Was ist der PCI-DSS-Sicherheitsstandard?
Der Datensicherheitsstandard für die Zahlungskartenindustrie (PCI DSS) ist eine Reihe von Sicherheitsanforderungen, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten. Der Standard beinhaltet, was Unternehmen tun müssen, um sich gegen Datenschutzverletzungen zu schützen und Strafen zu vermeiden. Natürlich beinhaltet dies die Verhinderung unbefugten Zugriffs auf Unternehmenskonten, indem Sie Best Practices für Passwörter befolgen.
- Zweck des Standards: Gemäß dem PCI-Leitbild besteht der Zweck aller strategischen PCI-Initiativen darin, die Sicherheit von globalen Zahlungskonten durch die Entwicklung von Standards und unterstützenden Diensten zu verbessern, um die Bildung, das Bewusstsein und und die effektive Umsetzung von Cybersicherheitsinitiativen zu verbessern. Da allein im Jahr 2021 389.000 Fälle von Kreditkartenbetrug an die Federal Trade Commission (FTC) gemeldet wurden, sind diese Initiativen weiterhin stark notwendig.
- Geschichte des Standards: Die PCI-DSS-Anforderungen wurden nach dem Aufkommen von E-Commerce und digitalen Zahlungsmethoden in den frühen 2000er Jahren entwickelt. Als Cyberkriminalität im Zusammenhang mit Online-Zahlungen immer häufiger wurde, haben sich die großen Kreditkartenmarken zusammengeschlossen, um Hacking, Identitätsdiebstahl und andere bösartige Online-Aktivitäten zu bekämpfen. Im Jahr 2001 kulminierten diese Bemühungen mit der Veröffentlichung des ersten PCI-DSS-Standards, und seitdem wurden regelmäßige Updates des Standards fortgesetzt.
- PCI DSS 4.0: Die neueste Version des PCI-DSS-Sicherheitsstandards, PCI DSS 4.0, wurde im März 2022 veröffentlicht. Diese neue Version behebt neue Sicherheitsbedrohungen, fördert die Sicherheit als kontinuierlichen Prozess und präzisiert die Leitlinien zu bestehenden PCI-Anforderungen. Die Anforderungen von Version 4.0 bleiben bis März 2025 optional.
Möchten Sie mehr über die Verwendung eines Passwort-Managers für Ihr Unternehmen erfahren?
Sehen Sie sich die Business-Tarife von Dashlane an oder legen Sie mit einem kostenlosen Business-Probeabo los.
Was sind die Anforderungen für PCI-DSS-Passwörter?
PCI-DSS-Passwortanforderungen für Unternehmen, die Kreditkartenzahlungen verwalten, spiegeln den Branchenkonsens und Best Practices für wichtige Aspekte der Passworthygiene wider und umfassen die folgenden Spezifikationen:
- Passwörter müssen regelmäßig zurückgesetzt werden: Die PCI-Compliance-Passwortrichtlinie umfasst eine Anforderung zum Zurücksetzen des Passworts alle 90 Tage. Aktuelle NIST-Empfehlungen weisen jedoch auf die potenziellen Nachteile dieser häufigen Änderungen hin – erzwungene Updates können zu kleinen Änderungen führen, die Hacker wahrscheinlich erraten, oder Passwörter, die der Bequemlichkeit halber wiederverwendet werden. Risikomindernde Aktivitäten wie die Implementierung eines Passwort-Managers zur Generierung starker und komplexer Passwörter minimieren auch die Notwendigkeit obligatorischer Updates.
- Login-Versuche sollten begrenzt sein: Wir alle haben schon einmal vergessene oder verlegte Passwörter zu erraten versucht, in der Hoffnung, uns an sie zu erinnern, bevor wir die Anzahl der zulässigen Versuche verbrauchten. Gemäß den PCI-Passwortanforderungen sollte Benutzern eine angemessene Anzahl (3 bis 6) an Login-Versuchen gewährt werden. Nach Überschreitung dieses Kontingents sollte die Person, die versucht, sich anzumelden, entweder für einen bestimmten Zeitraum gesperrt werden oder die IT-Abteilung oder den Systemadministrator anrufen müssen, um das Konto zu entsperren. Dieses PCI-Compliance-Login-Limit ist eine starke Abschreckung für Brute-Force-Angriffe, die durch Tausende von Anmeldedatenkombinationen laufen, um sich unbefugten Kontozugriff zu verschaffen.
- Es müssen Timeout-Sitzungen implementiert werden: Automatische System-Timeouts sind vom PCI-DSS erforderlich, um den Risiken entgegenzuwirken, die von einer mobileren Belegschaft ausgehen. Alle Unternehmen müssen automatische Timeouts implementieren, obwohl jedes Unternehmen seine eigenen risikobasierten Zeitlimits festlegen kann. Nach Überschreitung des Inaktivitätslimits müssen Benutzer ihre Anmeldedaten erneut eingeben, um sich wieder mit dem Netzwerk zu verbinden. Diese Verordnung hilft, das Risiko unbeaufsichtigter Geräte in öffentlichen Umgebungen wie Cafés, Flughäfen und Hotels zu minimieren.
- Passwörter müssen lang und komplex sein: Die Einrichtung langer und komplexer Passwörter für alle Konten ist eine der besten Möglichkeiten, um Hacking-Praktiken wie Brute-Force-Angriffe zu verhindern. Die PCI-Passwortanforderungen erfordern 7 oder mehr Zeichen; durch die Verwendung von mindestens 12 Zeichen wird Ihre Passwortstärke und Widerstandsfähigkeit gegenüber Hacking jedoch um ein Vielfaches verbessert.
- Ein komplexes Passwort enthält Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen in zufälliger Reihenfolge. Außerdem vermeidet es die Verwendung gängiger Phrasen oder vorhersehbarer Zeichenfolgen wie ABCD und 12345. Außerdem lässt ein starkes, komplexes Passwort Zahlen oder Phrasen zurück, die mit Ihrer Identität verknüpft werden können, wie Ihr Name, Ihr Geburtsdatum und Ihre Telefonnummer.
- Passwörter müssen einzigartig sein: Ein einzigartiges Passwort ist eines, das nicht für andere Konten wiederverwendet wird. Das Wiederholen von Passwörtern ist üblich, da es die Menge an Auswendiglernen oder Passwortverwaltung reduziert. Es verringert jedoch auch die Passwortsicherheit, da mehrere Konten betroffen sein können, wenn das wiederverwendete Passwort kompromittiert wird.
- Sensible Daten müssen verschlüsselt werden: Gemäß der PCI-DSS-Verschlüsselungsanforderungen müssen Passwörter und andere sensible Daten während der Übertragung und Speicherung verschlüsselt werden; derzeit wird jedoch keine Verschlüsselungsmethode angegeben. Das Verschlüsseln von Passwörtern macht sie für Hacker unlesbar und unbrauchbar, was die Auswirkungen einer Datenschutzverletzung verringert. Der Dashlane-Passwort-Manager nutzt AES-256-Bit-Verschlüsselung, die weithin als stärkste verfügbare Verschlüsselungsart akzeptiert wird, um Ihre Passwörter und andere persönliche Daten zu schützen.
Sie möchten erfahren, wie Dashlane Kundendaten verschlüsselt und keine Verknüpfungen akzeptiert? Lesen Sie unseren Blogbeitrag.
Die Vorteile der Verwendung von Multi-Faktor-Authentifizierung
Die in den PCI-DSS-Passwortanforderungen festgelegten Best Practices für Passworthygiene helfen, die Cybersicherheit zu verbessern und Kreditkartenkontodaten zu schützen. Durch die Hervorhebung von Multi-Faktor-Authentifizierung (MFA) hat die PCI einen wichtigen Schritt in Richtung sicherere Online-Transaktionen getan. Zu den positiven Attributen von MFA gehören:
- Schutz durch eine zusätzliche Sicherheitsebene
Die 2-Faktor-Authentifizierung (2FA) verwendet einen zweiten Berechtigungsnachweis, wie einen Code, der über eine App oder SMS gesendet wird, um die Benutzeridentität zu bestätigen. Die einfache Prämisse hinter 2FA ist, dass ein Hacker, der versucht, illegal an Anmeldedaten zu gelangen, wahrscheinlich das Gerät des Benutzers zur Hand hat, um einen Authentifizierungscode zu erhalten. Die Multi-Faktor-Authentifizierung verwendet zwei oder mehr identifizierende Faktoren, die oft erweiterte biometrische Identifikatoren wie Fingerabdrücke oder Gesichtserkennung als zusätzliche Sicherheitsebene enthalten.
- Identität bestätigen
Das Konzept eines universellen digitalen Identitätssystems zur positiven Bestätigung unserer Online- und Präsenz-Identität hat mit der Verbesserung der Verifizierungsmethoden an Fahrt gewonnen. Die Kombination von etwas, das Sie kennen (Passwort), mit etwas, das Sie haben (Gerät) und etwas, das Sie sind (biometrische Faktoren wie Ihr Fingerabdruck), führt zu einem äußerst zuverlässigen und nahezu ausfallsicheren Identifikationsprozess auf der Grundlage von MFA. PCI DSS schützt mithilfe der Identitätssicherung von MFA den Zugriff auf Karteninhaberdaten.
- Remote-Arbeit schützen
Da mobile und Remote-Arbeitspraktiken immer gängiger werden, ist es wichtig, die Identität von Mitarbeitern, die sich von Standorten außerhalb der Unternehmensnetzwerkgrenzen anmelden, zu überprüfen. MFA bietet diese zusätzliche Ebene der Remote-Mitarbeiterauthentifizierung, um unbefugten Zugriff zu verhindern, wenn Remote-Mitarbeitergeräte verloren gehen oder gestohlen werden oder ein Remote-Mitarbeiter ein öffentliches WLAN-Netzwerk ohne den Vorteil eines VPN verwendet, um sie vor Hacker-Angriffen und dem Abfangen von Daten zu schützen.
- Einbeziehung biometrischer Faktoren
Die bei vielen mobilen Geräten verwendeten biometrischen Authentifizierungsmethoden wie Fingerabdrücke und Gesichtserkennung sind nur die Spitze des Eisbergs, da passwortlose Authentifizierung zur Norm wird. Obwohl biometrische Faktoren häufig als eine von zwei oder mehr MFA-Identifikatoren verwendet werden, haben sie das Potenzial, Benutzer und IT-Teams schließlich von zeitaufwendigen Erstellungs-, Speicher- und Schutzprozessen von Passwörtern zu befreien.
- Die PCI-DSS-Anforderungen einhalten
Die einfache Einhaltung der PCI-DSS-Anforderungen ist Grund genug für Unternehmen, die Kreditkartendaten verarbeiten, um MFA zu implementieren. Die meisten erkennen jedoch bereits die Vorteile dieser Praxis für sich und ihre Kunden. Die von MFA bereitgestellte Sicherheit hat die Entscheidung der PCI-DSS, sie für den Zugriff auf Kreditkartendaten zu verlangen, gerechtfertigt, da sie Mängel bei der Passworthygiene, der Speicherung und Zugriffskontrollen kompensieren kann.
So hilft Dashlane, Passwörter zu schützen
Der Dashlane-Passwort-Manager ist die ideale Cybersicherheitslösung, um Ihnen bei der Einhaltung der PCI-Passwortanforderungen zu helfen, indem Sie die Passworthygiene verbessern und das Bewusstsein und den Schutz Ihrer Mitarbeiter erhöhen. Zu den Dashlane-Funktionen, die die PCI-DSS-Anforderungen ergänzen, gehören:
- Erweiterte Passwortgenerierung, um sicherzustellen, dass neue oder überarbeitete Passwörter immer lang und komplex sind.
- 2-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene für ausgewählte Konten zu bieten.
- Dark-Web-Überwachung, um die verborgenen Ecken des Internets nach Anmeldedaten von Mitarbeitern und privaten Daten zu scannen und sie zu warnen, wenn ihre Daten erkannt werden.
- Zero-Knowledge-Architektur, um sicherzustellen, dass niemand, einschließlich Dashlane, jemals auf unverschlüsselte Mitarbeiterdaten zugreifen kann.
- Eine Passwortintegritätsbewertung, um die schwachen, gefährdeten und wiederverwendeten Passwörter aller Mitarbeiter zu verfolgen.
Das Registrieren Ihrer Passwortintegritätsbewertung ist die einfachste Möglichkeit, Ihre Passwortsicherheit zu bewerten und zu verbessern. Erfahren Sie mehr darüber, wie schwache, wiederverwendete oder gefährdete Anmeldedaten Ihre Bewertung beeinflussen.
Referenzen
- PCI Security Standards Council, „About Us“, 2023.
- Dashlane, „9 Practical Password Security Best Practices“, März 2023.
- Credit.com, „Credit Card Fraud Statistics Everyone Should Know in 2023”, März 2023.
- WEX, „What is PCI Compliance: A comprehensive guide“, Januar 2023.
- PCI Security Standards Council, „At a Glance: PCI DSS v4.0“, April 2022.
- Dashlane, „7 Best Practices für Passwort-Hygiene, die Sie verfolgen sollten“, Februar 2023.
- NetSec News, „Summary of the NIST Password Recommendations“, November 2022.
- Dashlane, „Build the Case for a Password Manager in 8 Steps“, 2023.
- Dashlane, „Was ist eine Brute Force Attack” Februar 2020.
- Dashlane, „Changing Passwords: Best Practices for Remote Workers“, März 2023.
- Dashlane, „Passwordmanagement 101“, 2023.
- Dashlane, „What Is a Passphrase, and How Can I Create One?“ November 2022.
- Dashlane, „Wie Sie die Wiederverwendung von Passwörtern endgültig beenden“, Januar 2020.
- Dashlane, „Was ist Verschlüsselung?“, März 2019.
- Dashlane, „A Complete Guide to Multifactor Authentication“ (Ein umfassender Leitfaden zu Multi-Faktor-Authentifizierung), November 2022.
- Dashlane, „2-factor authentication (2FA) in Dashlane“, 2023.
- Dashlane, „Digitale Identität 101: Alles, was Sie wissen müssen“, April 2023.
- Dashlane, „Warum brauchen Sie ein VPN? Weil es 3 große Vorteile bietet“, August 2020.
- Dashlane, „Was ist passwortfreie Authentifizierung und warum sollten Sie sich darum kümmern?“ November 2022.
- Dashlane, „Zuverlässiger Passwort-Manager für den privaten Gebrauch“, 2023.
- Dashlane, „Dark-Web-Überwachung: Ihre Mitarbeiter verwenden höchstwahrscheinlich kompromittierte Passwörter“, Juli 2022.
- Dashlane, „A Deep Dive into Dashlane's Zero-Knowledge Security“, (Details zum Zero-Knowledge-Sicherheitsansatz von Dashlane), 2023.
- Dashlane, „Ein Blick auf Passwortintegritätsbewertungen in der ganzen Welt im Jahr 2022“, 2022.
- Dashlane, „Everything You Need to Know About Your Password Health Score“ (Alles, was Sie über die Passwortintegritätsbewertung wissen sollten), Oktober 2020.
- Dashlane, „7 Best Practices für Passwort-Hygiene, die Sie verfolgen sollten“, Februar 2023.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
Vielen Dank! Sie sind abonniert. Halten Sie Ausschau nach Updates direkt in Ihrem Posteingang.
