Sichere Passwörter

Paradigmenwechsel bei Passwortsicherheit


23. Oktober 2017, von in IT-Sicherheit

Wie sicher ist mein Passwort? Eine sinnvolle Frage – gerade jetzt. Denn bei der Passwortsicherheit gibt es einen Paradigmenwechsel: Komplexität ade – Länge juchhe! Wie gute Passwörter jetzt aussehen und wie Sie und Ihre Mitarbeiter sichere Passwörter erstellen, lesen Sie hier.

sichere passwörter

Sichere Passwörter bestehen aus mehr als 8 Zeichen. Foto: Gino Crescoli/pixabay

Paradigmenwechsel bei Passwortsicherheit

Er verspürt Reue – für seine Empfehlungen zur Passwortrichtlinie aus dem Jahr 2003. Er ist Bill Burr, pensionierter Beamter der US-Technologie-Standardbehörde NIST (National Institute of Standards and Technology). Seine Empfehlungen galten bis jetzt als das Nonplusultra für sichere Passwörter – trotz Kritikern: 6 bis 8 Zeichen, kleine und große Buchstaben, Zahlen und Sonderzeichen verwenden und alle 90 Tage das Kennwort ändern. Aber wer merkt sich schon ein Passwort, das so lautet: P04?§%\wZ8@, denkt sich alle 3 Monate ein neues dieser Kategorie aus – und behält es im Kopf?

Sichere Passwörter: Richtlinie veraltet

Auswertungen geknackter Passwörter, die Hacker in vergangenen Jahren im Netz veröffentlicht haben, zeigen, dass Burrs Empfehlung nicht zu einer höheren Passwortsicherheit führt – im Gegenteil. Benutzer variierten ein und dasselbe Passwort einfach. Hinzu kommt: Bill Burrs Argumentationsgrundlage für seine Empfehlung bildete ein Dokument aus den 1980er-Jahren. Deswegen hat das NIST diesen Sommer die Empfehlung  „NIST Special Publication 800-63. Appendix A“ komplett überarbeitet. Nach Veröffentlichung der neuen NIST-Passwortrichtlinie im Sommer äußerte Bill Burr sein wortwörtliches „Bereuen“ gegenüber dem Wall Street Journal. Der Artikel (kostenpflichtig mit Registrierung) ist online zu lesen.

Sichere Passwörter sind lang

Nach jetziger Ansicht des NIST sind sichere Passwörter lang – am besten aus mehreren Wörtern. Das empfiehlt auch IT-Sicherheitsexperte Frank Graziani. Der Bereichsleiter des Systemhauses Thinking Objects weiß, dass die Passwortanforderungen in Unternehmen häufig wie folgt lauten – auch auf Führungsebene: 8 Zeichen maximal, keine Sonderzeichen. Das Passwort sei ansonsten viel zu kompliziert – das könne sich keiner merken. „Das ist natürlich fatal“, kommentiert Graziani. Für gute Passwörter „empfehlen wir immer sehr lange Kennwörter, statt kurze. Dafür die Komplexität einfach herausnehmen, um es dem Benutzer zu erleichtern“, führt Graziani weiter aus. Seine Losung für sichere Passwörter:

Eine Länge schlägt um Längen die Komplexität eines Kennworts.

sichere Passwörter

Für IT-Sicherheitsexperte Frank Graziani sind sichere Passwörter nicht hoch komplex, sondern vor allem lang. Foto: Linda Bögelein

Denn ein Kennwort mit acht Stellen und hoch komplex: Das sei trotzdem nach ein paar Stunden geknackt – die gehoffte Passwortsicherheit ist schnell dahin. „Aber 16 Zeichen und ein bisschen weniger komplex – dafür brauche ich schon einmal 3 Monate.“ Grazianis Praxis-Tipp: Anagramme nutzen und damit Sätze bilden. „Das kann dann so etwas sein wie ,meine Tochter fährt gerne mit mir Motorrad‘ – und das ist der Satz, den ich mir merke. Daraus bastel ich mir dann mein Kennwort: aus einzelnen Buchstaben und Sonderzeichen.“ Wenn es nach den Experten des NIST geht, sollten Passwörter aus lediglich 8 Zeichen bestehen – mindestens. 12 Zeichen seien besser. Jedes weitere Zeichen erhöht Ihre Passwortsicherheit. Generell rät das NIST dazu, die Längenbeschränkung von Passwörtern gleich ganz aufzuheben. Laut NIST-Experten seien Kennwörter bis zu 64 Zeichen sinnvoll, um wichtige Accounts zu schützen.

Phantasie und Eselsbrücken für sichere Passwörter

Wenn es darum geht, sichere Passwörter zu erstellen, sind Ihrer Phantasie keine Grenzen gesetzt. Phantasielos, dafür aber effektiv, ist ein Passwort-Beispiel vom Bundesministerium für Sicherheit in der Informationstechnik (BSI): Der Passwort-Vorschlag ist ebenfalls ein Satz und lautet „Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang.“ Nun nutzen Sie für ein gutes Passwort nur die ersten Buchstaben: „MsiaupmmZdMl“. Wenn Sie jetzt noch das i und l durch die Ziffer 1 und das „und“ durch ein kaufmännisches & ersetzen, haben Sie Ihr sicheres Kennwort: „Ms1a&pmmZ3M1“. Auf diese Weise habe man sich eine „gute Eselsbrücke“ gebaut.

Die neue Passwortsicherheit

Gut ein Jahr haben die NIST-Mitarbeiter mit Nutzern diskutiert und an dem Bericht und den Leitlinien für die neue Passwortsicherheit gearbeitet. Ihre Erkenntnisse für sichere Passwörter im Überblick:

  1. weniger Sonderzeichen
  2. nicht so häufig Kennwort ändern
  3. keine Sicherheitsfrage

Weniger Sonderzeichen

Die Sonderzeichnen waren bislang der Inbegriff für Passwortsicherheit, weil irgendwie kryptisch. Hier ein Prozentzeichen, dort ein Sternchen. Allerdings kann ein Hacker kurze, vermeintlich sichere Passwörter mit Sonderzeichen schnell knacken –  mithilfe einer so genannten Brute-Force-Attacke, was übersetzt so viel heißt wie „mit roher Gewalt“. Dabei probiert ein Software-Algorithmus in kurzer Zeit verschiedene Zeichenkombinationen aus: erst gängige Phrasen, dann Begriffe aus Wörterbüchern und schlussendlich auch Sonderzeichen. Mit einem Hochleistungsrechner passiert das alles in Windeseile. Die Experten des NIST empfehlen daher die Passwort-Vorgaben in Unternehmen und auf Webplattformen zu vereinfachen. Ohnehin würden Nutzer ein und dasselbe komplexe Passwort lediglich variieren. Aus „Passwort“ werde „Pa$$w0rt1!!“ Der neue Merksatz für sichere Passwörter lautet demnach: weniger Sonderzeichen, dafür aber verschiedene Phrasen.

Kennwort ändern – nicht mehr so häufig

sichere passwörter

Sichere Passwörter müssen nicht ständig geändert werden. Foto: Gerd Altmann

Ja, Sie lesen richtig: KEINE regelmäßige Passwort-Änderung. Sie sehen sich schon triumphierend vor dem IT-Admin oder technischen Leiter Ihres Unternehmens stehen? Hier kommt Ihre Argumentationsgrundlage: Kennwörter ändern – da muss nicht alle paar Wochen oder Monate geschehen. Dan Goodin, Security Editor des Blogs Ars Technica, hat 2016 einen Artikel darüber verfasst, dass es kontraproduktiv sein kann, ständig sein Passwort ändern zu müssen. Bereits 2010 erschien dazu auch eine wissenschaftliche Studie der University of North Carolina.  Auch hier ist der Grund, wie schon bei den Sonderzeichen, dass die meisten Menschen unsichere Passwörter nutzen und diese nur variieren, damit sie sich diese leichter merken können. Außerdem: Nutzer wählen schwächere Passwörter, wenn sie wissen, dass sie diese regelmäßig ändern müssen. Eine Studie der Carleton University in Otta aus dem Jahr 2016 äußert sich ähnlich.

ABER: Eine Situation gibt es, die eine Passwort-Änderung verlangt: eine Hacker-Attacke auf Ihr Unternehmen oder allein die Vermutung, dass Sie Opfer eines Cyberangriffs geworden sind. Dann sollten alle Mitarbeiter unverzüglich Ihre Passwörter ändern.

Keine Sicherheitsfrage

Wenn ein Nutzer sein Kennwort vergessen hat, haben laut NIST auch Sicherheitsfragen ausgedient, um das Passwort zurückzusetzen. Kein verborgener Schmerz mehr über den verstorbenen Hamster, der hochkommt, wenn die Sicherheitsfrage lautet: „Wie hieß Ihr erstes Haustier?“ Denn diese Fragen können Cyberkriminelle mithilfe von Facebook, Twitter, Instagram und Co. mittlerweile schnell beantworten. Dann können diese Ihr Passwort ändern und haben Zugriff auf Ihren kompletten Account. Ein Tipp, falls bei Accounteinrichtung Antworten auf Sicherheitsfragen gefordert sind: schwindeln! Schon wird der Mädchenname Ihrer Mutter zu Ihrem Lieblingsessen. Allerdings müssen Sie sich auch diesen Schwindel merken, wenn es hart auf hart kommt und Sie Ihr Kennwort vergessen haben.

Sicheres Passwort erstellen – aber wie?

Um relativ sichere Passwörter erstellen zu können ohne viel „Hirnschmalz“, gibt es mehrere Möglichkeiten – nicht nur in Unternehmen: Diceware, Kennwort-Generator, 2FA. Das alles ersetzt jedoch keine grundlegende Passwortrichtlinie (Passwort Policy) in Unternehmen. Wenn Sie wissen wollen, wie widerstandsfähig Ihre IT insgesamt aufgestellt ist, dann lohnt sich ein Penetrationstest. Diesen IT-Security Check führen die IT-Dienstleister des IT-SERVICE.NETWORK durch.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.