Neue Richtlinie könnte das Merken erleichtern

Ein pensionierter Beamter des amerikanischen NIST (National Institute for Standards and Technology) hat vor einigen Tagen für Überraschung gesorgt: Er entschuldigte sich für ein Dokument, das er im Jahr 2003 verfasst hat. Darin ging es um die Standards, die ein Passwort sicherer machen sollten. Zahllose Firmen und Online-Plattformen folgen seit Jahren den Empfehlungen, die das Institut ausspricht.

(Bild: ©HypnoArt/pixabay.com)

Das Problem: Die Passwörter, die nach diesem Stand als sicher gelten (wie z.B.”yxc^Vo![“$§oAIS@nrvkeu}ih5tK.-n27\fd”), kann sich kein Mensch wirklich merken. Und sie verbessern die Sicherheit auch nicht. In Unternehmen sorgen Passwort-Richtlinien öfters für Unmut bei den Mitarbeitern. Diese werden regelmäßig gezwungen, neue zu vergeben, die den folgenden Regeln entsprechen.

Mindestlänge von acht Zeichen: Manche Plattformen haben auch eine maximale Passwortlänge oder schreiben vor, welche Zeichen wo stehen dürfen, wie z.B. “Das erste Zeichen des Passwortes darf kein Sonderzeichen sein”.
Groß- und Kleinschreibung:Verwendung mindestens eines Sonderzeichens und einer Ziffer; Leerzeichen sind ausgenommen
Keine Wiederverwendung von Passwörtern, die in den letzten zwölf Monaten verwendet wurden

Ursprünglicher Sinn der Empfehlung war es, triviale Passwörter zu verbannen und durch solche zu ersetzen, die nicht einfach zu erraten sind. Anwender machen es sich jedoch am liebsten so einfach wie möglich. So denkt sich ein Benutzer z.B. das Passwort P@$$w0rd aus. Es ist acht Zeichen lang, enthält Groß- und Kleinbuchstaben, eine Ziffer und sogar drei Sonderzeichen und erfüllt damit sämtliche Anforderungen. Nach drei Wochen wird er aufgefordert, das Passwort zu ändern. Da Menschen es aber gerne einfach haben, wird oft einfach eine Iteration gewählt: P@$$w0rd2, P@$$w0rd3 und so weiter. Diese Vorgehensweise, gepaart mit den oben beispielhaft angeführten Richtlinien, hat Passwörter hervorgebracht, die für einen Menschen im günstigsten Fall unpraktisch sind, aber dafür aus Sicht eines Computers einfacher zu knacken sind. Wenn bestimmte Kriterien feststehen, dann kann ein Computer wesentlich effizienter ganze Passwortgruppen ausschließen. Wenn er weiß, dass ein zu knackendes Passwort maximal 16 Zeichen lang sein kann und das erste Zeichen kein Sonderzeichen ist, dann sind damit schon einige Millionen Kombinationen ausgeschlossen. Wenn der Rechner weiter davon ausgeht, dass nur ein Sonderzeichen vorhanden ist (von denen wiederum einige gegebenenfalls ausgeschlossen sind, wie etwa Leerzeichen oder Umlaute), reduziert sich die Menge, die zu testen ist, sogar noch weiter. Wörterbücher und Rainbow Tables vereinfachen die Tätigkeit für einen Rechner zusätzlich. Wenn man noch mit einbezieht, dass Rechner immer höhere Rechenkapazitäten haben, wird schnell klar, warum hier ein Umdenken nötig ist.

Was ist neu?

In der aktuellen Veröffentlichung werden Änderungen vorgeschlagen, die all diejenigen freuen werden, die sich fast ihr ganzes Leben mit komplexen Passwörtern herumgeplagt haben: explizit werden hier einfach zu merkende Passwörter eindeutig favorisiert. Diese sollten nach wie vor mindestens acht Zeichen beinhalten. Eine Maximallänge ist nicht vorgesehen, allerdings wird empfohlen, die Maximallänge auf wenigstens 64 Zeichen festzusetzen. Somit würden Meldungen wie “Ihr Passwort darf maximal eine Länge von X Zeichen haben” entfallen. Einige Zeichen sind bisher in Passwörtern oft nicht erlaubt, wie etwa Leerzeichen. Diese sollen jedoch nun auch in Passwörtern zugelassen werden. Auch das Erzwingen einer Passwortänderung nach einem fest definierten Zeitraum soll nach dem Willen des NIST der Vergangenheit angehören. Stattdessen soll eine solche Änderung nur dann erzwungen werden, wenn es Anzeichen dafür gibt, dass ein Zugang kompromittiert wurde. Zudem soll auch Mehrfaktor-Authentisierung (MFA) verstärkt verwendet werden. In der Businesspraxis wird MFA bereits seit längerem eingesetzt, allerdings nicht flächendeckend. Einige Onlinedienste bieten eine ‘Mehrstufen-Anmeldung’ bereits seit längerem an, bestehend aus Benutzername und Passwort sowie einem Einmalpasswort, das von einer separaten App generiert wird. Somit wird sichergestellt, dass man immer mehrere Dinge benötigt, um auf eine Ressource oder einen Dienst zuzugreifen. Allerdings soll SMS aufgrund von Sicherheitsbedenken als Versandoption möglichst nicht mehr für die Übermittlung eingesetzt werden. Langfristig gesehen werden Passwörter jedoch zunehmend an Bedeutung verlieren und Alternativen weichen, die weniger leicht zu überwinden sind.

Was bedeuten die neuen Standards

Grundsätzlich handelt es sich bei der NIST-Veröffentlichung um eine Empfehlung, die keinen gesetzlichen Charakter hat. In der Vergangenheit haben sich allerdings sehr viele Anbieter nach den Vorschlägen gerichtet. Bis die Empfehlungen umgesetzt sind, wird sich für Benutzer in der Praxis daher zunächst nicht viel ändern. Viele Dienste und auch Administratoren werden nach wie vor auf die klassische Anmeldung mit Benutzernamen und Passwort setzen, allerdings ist zu erwarten, dass MFA zumindest bei den größeren Onlinediensten mehr genutzt und vielleicht die eine oder andere bisherige Richtlinie gelockert wird. Wer einen Onlinedienst betreibt, sollte sicherstellen, dass die Passwörter serverseitig sicher verarbeitet werden. Übrigens: Seriöse Anbieter sollten niemals die Passwörter selbst in ihrer Datenbank ablegen oder diese mit einer einfachen Verschlüsselung versehen. In der Vergangenheit gab es immer wieder Fälle, in denen Passwörter im Klartext gespeichert waren. In Diskussionsforen passierte dies ab und zu – hat man auf den ‘Passwort vergessen’-Link geklickt, bekam man sein Passwort zugeschickt. Das ist ein sicheres Anzeichen dafür, dass die Passwörter nicht ausreichend abgesichert sind. Auch dabei haben große Anbieter in der Vergangenheit gepatzt: So stellte sich im Zuge eines großen Datenlecks beim Berufs- und Karriere-Netzwerk LinkedIn heraus, dass die Passwörter dort zwar gehasht waren, aber nach einem veralteten und nicht mehr als sicher geltenden Verfahren. Was vielleicht nach ‘übervorsichtig’ klingt, ist in der Praxis absolut angebracht: Hardware, die speziell auf das Aufbrechen von Verschlüsselungen ausgelegt ist, kann Milliarden verschiedener Kombinationen pro Sekunde durchprobieren, bis sie Erfolg hat.

Nicht allein Sache der Benutzer

Die Neuregelungen machen klar, dass die Sicherung von Konten nicht allein Sache der Benutzer ist – Dienstanbieter und Administratoren sind hier ebenso in der Pflicht. Statt den Kunden und Anwendern immer komplexere Passwortrichtlinien aufzubürden, die obendrein (durch geschicktes Umgehen, Iterationen und Wiederverwendung von Passwörtern) keinen wirklichen Gewinn an Sicherheit versprechen, setzt man nun verstärkt auf die serverseitige Sicherung von Zugängen und die Nutzung alternativer und zusätzlicher Anmeldemethoden. Wenn ein Passwort beispielsweise durch Phishing kompromittiert wird, dann spielt es keine Rolle, wie lang oder komplex das Passwort ist. Eine gepanzerte Tür ist schließlich auch nur von begrenztem Nutzen, wenn sie entweder offensteht oder jeder weiß, wo der Schlüssel versteckt ist. Fest steht jedoch, dass Passwörter allein langfristig nicht mehr zur Sicherung von Online- oder Benutzerkonten ausreichen werden. Da Rechenkapazität preiswerter und moderne Hardware immer leistungsfähiger wird, ist es für einen entschlossenen und ausreichend motivierten Angreifer nur eine Frage der Zeit und des Geldes, bis er ein Passwort erfolgreich ermittelt hat. Hat man eine zusätzliche Anmeldemethode erhöht dies die Sicherheit immens.

Welches Passwort nehme ich jetzt?

Wer sich bereits so sehr an die komplexen Passwörter gewöhnt hat, dass er sich bei allem Anderen unwohl fühlt, der kann diese natürlich beibehalten – aber er müsste sie zumindest nicht mehr regelmäßig ändern. Für alle Anderen gilt: Der Fantasie sind keine Grenzen gesetzt. Wer will, könnte nach den NIST-Empfehlungen ganze Sätze inklusive Leer- und Satzzeichen als Passwort definieren – man spricht hier auch von einer ‘Passphrase’. Vorschriften für deren Zusammensetzung gibt es in der Empfehlung nicht. Leicht zu raten sollte ein Passwort oder eine Passphrase dennoch nicht sein. Eine besonders schwer zu erratende Passphrase ist natürlich so lang wie möglich, aber noch innerhalb eines Rahmens, den man sich auch wirklich merken kann. Länge ist immer noch einer der wichtigsten Fakt

oren, die darüber entscheiden, ob ein Passwort gut oder schlecht ist. Kürzer als acht Zeichen sollte es jedoch keinesfalls sein. Einen ‘Wermutstropfen’ gibt es daher weiterhin, auch wenn man keine kryptischen Zeichenfolgen mehr verwenden muss: Passwörter wie der eigene Geburtstag, 123456 oder abcdef bleiben schlechte Passwörter und können von einem Netzwerkadministrator oder Webseitenbetreiber auf eine schwarze Liste nicht zugelassener Passwörter gesetzt werden. Auch der Ratschlag, dass man nicht dasselbe Passwort für mehrere Zwecke einsetzen sollte, hat weiterhin Bestand. Nach wie vor sollte jeder Dienst sein eigenes Passwort haben. Sofern verfügbar, ist die Aktivierung einer zweiten Authentisierungsmethode ratsam. Um alle Passwörter zu verwalten, kann auch weiterhin ein Passwortmanager verwendet werden.

Tipps zur Sicherung

Sofern eine Plattform die neuen Empfehlungen bereits umgesetzt hat, gibt es einige Tipps, wie man sein Benutzerkonto effektiv sichern kann: Verwenden Sie ausreichend lange Passphrase (z.B. ‘1SeltsamesSpiel – derEinzigGewinnendeZugIst, Nicht ZuSpielen!’ – diese ist 61 Zeichen lang, enthält Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen und ist einfach zu merken). Aktivieren Sie mehrstufige Anmeldungen (Mehrfaktor-Authentisierung) sofern verfügbar. Setzen Sie eine Passphrase niemals für mehrere Zwecke ein und verwenden Sie einen Passwort-manager.

Datum:13. September 2017

Autoren:Tim Berghoff

Themen: Security, Fachartikel, Kommunikation

Webseite: www.gdata.de

Downloads: