IT-Sicherheit

Sichere Passwörter

Paradigmenwechsel bei Passwortsicherheit

sichere passwörter
Sichere Passwörter bestehen aus mehr als 8 Zeichen.

Wie sicher ist mein Passwort? Eine sinnvolle Frage – gerade jetzt. Denn bei der Passwortsicherheit gibt es einen Paradigmenwechsel: Komplexität ade – Länge juchhe!

Wie gute Passwörter jetzt aussehen und wie Sie und Ihre Mitarbeiter sichere Passwörter erstellen, lesen Sie hier.

sichere passwörter

Sichere Passwörter bestehen aus mehr als 8 Zeichen. Foto: Gino Crescoli/pixabay

Paradigmenwechsel bei Passwortsicherheit

Er verspürt Reue – für seine Empfehlungen zur Passwortrichtlinie aus dem Jahr 2003. Er ist Bill Burr, pensionierter Beamter der US-Technologie-Standardbehörde NIST (National Institute of Standards and Technology).

Seine Empfehlungen galten bis jetzt als das Nonplusultra für sichere Passwörter – trotz Kritikern: 6 bis 8 Zeichen, kleine und große Buchstaben, Zahlen und Sonderzeichen verwenden und alle 90 Tage das Kennwort ändern. Aber wer merkt sich schon ein Passwort, das so lautet: P04?§%\wZ8@, denkt sich alle 3 Monate ein neues dieser Kategorie aus – und behält es im Kopf?

Sichere Passwörter: Richtlinie veraltet

Auswertungen geknackter Passwörter, die Hacker in vergangenen Jahren im Netz veröffentlicht haben, zeigen, dass Burrs Empfehlung nicht zu einer höheren Passwortsicherheit führt – im Gegenteil. Benutzer variierten ein und dasselbe Passwort einfach. Hinzu kommt: Bill Burrs Argumentationsgrundlage für seine Empfehlung bildete ein Dokument aus den 1980er-Jahren.

Deswegen hat das NIST diesen Sommer die Empfehlung  „NIST Special Publication 800-63. Appendix A“ komplett überarbeitet. Nach Veröffentlichung der neuen NIST-Passwortrichtlinie im Sommer äußerte Bill Burr sein wortwörtliches „Bereuen“ gegenüber dem Wall Street Journal. Der Artikel (kostenpflichtig mit Registrierung) ist online zu lesen.

Sichere Passwörter sind lang

Nach jetziger Ansicht des NIST sind sichere Passwörter lang – am besten aus mehreren Wörtern. Das empfiehlt auch IT-Sicherheitsexperte Frank Graziani. Der Bereichsleiter des Systemhauses Thinking Objects weiß, dass die Passwortanforderungen in Unternehmen häufig wie folgt lauten – auch auf Führungsebene: 8 Zeichen maximal, keine Sonderzeichen.

Das Passwort sei ansonsten viel zu kompliziert – das könne sich keiner merken. „Das ist natürlich fatal“, kommentiert Graziani. Für gute Passwörter „empfehlen wir immer sehr lange Kennwörter, statt kurze. Dafür die Komplexität einfach herausnehmen, um es dem Benutzer zu erleichtern“, führt Graziani weiter aus. Seine Losung für sichere Passwörter:

Eine Länge schlägt um Längen die Komplexität eines Kennworts.

sichere Passwörter

Für IT-Sicherheitsexperte Frank Graziani sind sichere Passwörter nicht hoch komplex, sondern vor allem lang. Foto: Linda Bögelein

Denn ein Kennwort mit acht Stellen und hoch komplex: Das sei trotzdem nach ein paar Stunden geknackt – die gehoffte Passwortsicherheit ist schnell dahin. „Aber 16 Zeichen und ein bisschen weniger komplex – dafür brauche ich schon einmal 3 Monate.“ Grazianis Praxis-Tipp: Anagramme nutzen und damit Sätze bilden. „Das kann dann so etwas sein wie ,meine Tochter fährt gern mit mir Motorrad‘ – und das ist der Satz, den ich mir merke. Daraus bastel ich mir dann mein Kennwort: aus einzelnen Buchstaben und Sonderzeichen.“

Wenn es nach den Experten des NIST geht, sollten Passwörter aus lediglich 8 Zeichen bestehen – mindestens. 12 Zeichen seien besser. Jedes weitere Zeichen erhöht Ihre Passwortsicherheit. Generell rät das NIST dazu, die Längenbeschränkung von Passwörtern gleich ganz aufzuheben. Laut NIST-Experten seien Kennwörter bis zu 64 Zeichen sinnvoll, um wichtige Accounts zu schützen.

Phantasie und Eselsbrücken für sichere Passwörter

Wenn es darum geht, sichere Passwörter zu erstellen, sind Ihrer Phantasie keine Grenzen gesetzt. Phantasielos, dafür aber effektiv, ist ein Passwort-Beispiel vom Bundesministerium für Sicherheit in der Informationstechnik (BSI): Der Passwort-Vorschlag ist ebenfalls ein Satz und lautet „Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang.“ Nun nutzen Sie für ein gutes Passwort nur die ersten Buchstaben: „MsiaupmmZdMl“. Wenn Sie jetzt noch das i und l durch die Ziffer 1 und das „und“ durch ein kaufmännisches & ersetzen, haben Sie Ihr sicheres Kennwort: „Ms1a&pmmZ3M1“. Auf diese Weise habe man sich eine „gute Eselsbrücke“ gebaut.

Die neue Passwortsicherheit

Gut ein Jahr haben die NIST-Mitarbeiter mit Nutzern diskutiert und an dem Bericht und den Leitlinien für die neue Passwortsicherheit gearbeitet. Ihre Erkenntnisse für sichere Passwörter im Überblick:

  1. weniger Sonderzeichen
  2. nicht so häufig Kennwort ändern
  3. keine Sicherheitsfrage

Weniger Sonderzeichen

Die Sonderzeichnen waren bislang der Inbegriff für Passwortsicherheit, weil irgendwie kryptisch. Hier ein Prozentzeichen, dort ein Sternchen. Allerdings kann ein Hacker kurze, vermeintlich sichere Passwörter mit Sonderzeichen schnell knacken –  mithilfe einer sogenannten Brute-Force-Attacke, was übersetzt so viel heißt wie „mit roher Gewalt“. Dabei probiert ein Software-Algorithmus in kurzer Zeit verschiedene Zeichenkombinationen aus: erst gängige Phrasen, dann Begriffe aus Wörterbüchern und schlussendlich auch Sonderzeichen. Mit einem Hochleistungsrechner passiert das alles in Windeseile.

Die Experten des NIST empfehlen daher die Passwort-Vorgaben in Unternehmen und auf Webplattformen zu vereinfachen. Ohnehin würden Nutzer ein und dasselbe komplexe Passwort lediglich variieren. Aus „Passwort“ werde „Pa$$w0rt1!!“ Der neue Merksatz für sichere Passwörter lautet demnach: weniger Sonderzeichen, dafür aber verschiedene Phrasen.

Kennwort ändern – nicht mehr so häufig

sichere passwörter

Sichere Passwörter müssen nicht ständig geändert werden. Foto: Gerd Altmann

Ja, Sie lesen richtig: KEINE regelmäßige Passwort-Änderung. Sie sehen sich schon triumphierend vor dem IT-Admin oder technischen Leiter Ihres Unternehmens stehen? Hier kommt Ihre Argumentationsgrundlage: Kennwörter ändern – da muss nicht alle paar Wochen oder Monate geschehen.

Dan Goodin, Security Editor des Blogs Ars Technica, hat 2016 einen Artikel darüber verfasst, dass es kontraproduktiv sein kann, ständig sein Passwort ändern zu müssen. Bereits 2010 erschien dazu auch eine wissenschaftliche Studie der University of North Carolina.  Auch hier ist der Grund, wie schon bei den Sonderzeichen, dass die meisten Menschen unsichere Passwörter nutzen und diese nur variieren, damit sie sich diese leichter merken können. Außerdem: Nutzer wählen schwächere Passwörter, wenn sie wissen, dass sie diese regelmäßig ändern müssen.

Eine Studie der Carleton University in Otta aus dem Jahr 2016 äußert sich ähnlich.
ABER: Eine Situation gibt es, die eine Passwort-Änderung verlangt: eine Hacker-Attacke auf Ihr Unternehmen oder allein die Vermutung, dass Sie Opfer eines Cyberangriffs geworden sind. Dann sollten alle Mitarbeiter unverzüglich Ihre Passwörter ändern.

Keine Sicherheitsfrage

Wenn ein Nutzer sein Kennwort vergessen hat, haben laut NIST auch Sicherheitsfragen ausgedient, um das Passwort zurückzusetzen. Kein verborgener Schmerz mehr über den verstorbenen Hamster, der hochkommt, wenn die Sicherheitsfrage lautet: „Wie hieß Ihr erstes Haustier?“ Denn diese Fragen können Cyberkriminelle mithilfe von Facebook, Twitter, Instagram und Co. mittlerweile schnell beantworten. Dann können diese Ihr Passwort ändern und haben Zugriff auf Ihren kompletten Account.

Ein Tipp, falls bei Accounteinrichtung Antworten auf Sicherheitsfragen gefordert sind: schwindeln! Schon wird der Mädchenname Ihrer Mutter zu Ihrem Lieblingsessen. Allerdings müssen Sie sich auch diesen Schwindel merken, wenn es hart auf hart kommt und Sie Ihr Kennwort vergessen haben.

Sicheres Passwort erstellen – aber wie?

Um relativ sichere Passwörter erstellen zu können ohne viel „Hirnschmalz“, gibt es mehrere Möglichkeiten – nicht nur in Unternehmen: Diceware, Kennwort-Generator, 2FA. Das alles ersetzt jedoch keine grundlegende Passwortrichtlinie (Passwort Policy) in Unternehmen.

Wenn Sie wissen wollen, wie widerstandsfähig Ihre IT insgesamt aufgestellt ist, dann lohnt sich ein Penetrationstest. Diesen IT-Security Check führen die IT-Dienstleister des IT-SERVICE.NETWORK durch.

Geschrieben von

Weiterlesen

Fragen zum Artikel? Frag den Autor
8 Kommentare

hallo, 15. Juni 2018 um 8:33

nice

Antworten

Klaus Pohl, 31. Dezember 2019 um 13:24

Pw hochinteressant

Antworten

Ruth Trubin, 29. Januar 2021 um 10:10

Hallo, vielen Dank für den Artikel. Zum Ändere-dein-Passwort-Tag nächste Woche schreibe ich einen Blog Beitrag darüber auch über neuere Studien, um den Menschen die Berührungsängste zu nehmen und zu zeigen, dass Sicherheit im Internet sehr wohl auch vorhanden ist.

Antworten

Brigitte Heitmann, 9. September 2021 um 11:35

Wie ist es, wenn man ein vorgeschlagenes sicheres Passwort benutzt? Ist das dann einmalig?

Antworten

    IT-SERVICE.NETWORK-Team, 13. September 2021 um 7:10

    Guten Tag Frau Heitmann,
    uns ist leider nicht ganz klar, was Sie genau mit „vorgeschlagenes sicheres Passwort“ meinen. Falls es sich um ein von einem Passwort-Manager generiertes, vorgeschlagenes Passwort handeln sollte: Solche Passwörter werden tatsächlich für jeden Account neu generiert.
    Viele Grüße
    Ihr IT-SERVICE.NETWORK

    Antworten

Angie, 24. September 2021 um 10:31

Es gibt Firmen, hier als aktuelles Bsp. sei die HUK erwähnt, die bestimmte einfache Sonderzeichen (ein ‚+‘) im PW nicht zulassen. Das ist kontraproduktiv und wird als Innovation und zusätzliche Sicherheit „verkauft“. Ich halte das für einen Bug, der behoben gehört.

Antworten

    IT-SERVICE.NETWORK-Team, 24. September 2021 um 11:36

    Guten Tag Angie,
    da stimmen wir Ihnen natürlich zu. Sonderzeichen gehören zu jedem sicheren Passwort dazu und sollten unbedingt gewählt werden können. Hoffentlich setzt sich diese Erkenntnis zeitig bei allen Webseiten-Betreibern mit Registrierungsmöglichkeit durch.
    Viele Grüße
    Ihr IT-SERVICE.NETWORK

    Antworten

Ratgeber: Datenrettung in Hamburg - Hamburgportal

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen