„Ich bereue den Passwort-Wahnsinn“

By | 11. August 2017
Annoy­ing noise © olly — Fotolia.com

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
  • Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“ aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag „Über Bord mit veralteten starren Passwort-Richtlinien“.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

3 thoughts on “„Ich bereue den Passwort-Wahnsinn“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.