Komplexe Passwörter ade?: Neue Passwort-Empfehlungen im Check

Müssen Passwörter gar nicht möglichst kompliziert gewählt werden, um sicher zu sein? Die neuen Passwort-Empfehlungen des amerikanischen NIST (National Institute for Standards and Technology) hat das Sicherheitsunternehmen G Data jetzt bewertet.

Sind die bisherigen Passwort-Empfehlungen nicht sinnvoll?
(Foto: yellowj / Fotolia)

Ein pensionierter Beamter des amerikanischen NIST (National Institute of Standards and Technology) sorgte vor einigen Tagen für Überraschung: Er entschuldigte sich für ein Dokument, das er im Jahr 2003 verfasst hat. Darin ging es um die Standards, die ein Passwort sicherer machen sollten. Zahllose Firmen und Online-Plattformen folgen diesen Empfehlungen seit Jahren, um Passwörter sicherer zu machen. Doch dabei gibt es ein Problem: Passwörter, die nach diesem Stand als sicher gelten (wie zum Beispiel „yxc^Vo![“$§oAIS@nrvkeu}ih5tK.-n27\fd“), kann und will sich kein Mensch wirklich merken. Und sie verbessern die Sicherheit auch nicht.

In Unternehmen sorgen die Passwort-Richtlinien zudem häufig für Unmut bei den Mitarbeitern. Ursprünglicher Sinn der damaligen Empfehlung war es, triviale Passwörter zu verbannen und durch solche zu ersetzen, die nicht einfach zu erraten sind. Anwender machen es sich jedoch am liebsten so einfach wie möglich. So denkt sich ein Benutzer zum Beispiel das Passwort „P@$$w0rd“ aus. Es ist acht Zeichen lang, enthält Groß- und Kleinbuchstaben, eine Ziffer und sogar drei Sonderzeichen und erfüllt damit sämtliche Anforderungen. Nach drei Wochen wird er aufgefordert, das Passwort zu ändern. Da Menschen es aber gerne einfach haben, wird oft einfach eine Iteration gewählt: P@$$w0rd2. Drei Wochen später sind wir bei „P@$$w0rd3“ – und so weiter. Diese Vorgehensweise, gepaart mit den oben beispielhaft angeführten Richtlinien hat Passwörter hervorgebracht, die für einen Menschen im günstigsten Fall unpraktisch sind, aber dafür aus Sicht eines Computers einfacher zu knacken sind. Wenn bestimmte Kriterien feststehen, dann kann ein Computer wesentlich effizienter ganze Passwortgruppen ausschließen.

Das NIST hat deshalb in einer aktuellen Veröffentlichung Änderungen vorgeschlagen. G Data-Experte Tim Berghoff ist davon überzeugt, dass diese Änderungen all diejenigen freuen werden, die sich fast ihr ganzes Leben mit komplexen Passwörtern herumgeplagt haben. Denn explizit werden hier einfach zu merkende Passwörter eindeutig favorisiert. Diese sollten nach wie vor mindestens acht Zeichen beinhalten. Eine Maximallänge ist nicht vorgesehen. Es wird jedoch empfohlen, die Maximallänge auf wenigstens 64 Zeichen festzusetzen. Somit würden Meldungen wie »Ihr Passwort darf maximal eine Länge von X Zeichen haben« entfallen. Einige Zeichen sind bisher in Passwörtern oft nicht erlaubt, wie zum Beispiel Leerzeichen. Auch sie sollen nun auch in Passwörtern zugelassen werden. Auch das Erzwingen einer Passwortänderung nach einem fest definierten Zeitraum soll nach dem Willen des NIST der Vergangenheit angehören. Stattdessen soll eine solche Änderung nur dann erzwungen werden, wenn es Anzeichen dafür gibt, dass ein Zugang kompromittiert wurde. Das ist zum Beispiel der Fall, wenn ein Unbefugter auf Grund von Phishing oder Ähnlichem das Passwort besitzt – oder wenn der Benutzer das Passwort vergessen hat.

Zudem soll auch Mehrfaktor-Authentisierung (MFA) verstärkt verwendet werden. In der Businesspraxis wird MFA bereits seit längerem eingesetzt, allerdings nicht flächendeckend. Einige Onlinedienste bieten bereits seit einiger Zeit eine »Mehrstufen-Anmeldung«, die aus Benutzername und Passwort sowie einem Einmalpasswort besteht, das von einer separaten App generiert wird. Dadurch soll sichergestellt werden, dass man immer mehrere Dinge benötigt, um auf eine Ressource oder einen Dienst zuzugreifen. Allerdings soll SMS nach Ansicht des NIST als Versandoption möglichst nicht mehr für die Übermittlung eingesetzt. Werden. G Data begrüßt diese Empfehlungen, da es hier Sicherheitsbedenken gibt. Langfristig gesehen werden Passwörter jedoch zunehmend an Bedeutung verlieren und Alternativen weichen, die weniger leicht zu überwinden sind.

Übersicht

Kommentare (1) Alle Kommentare

Antwort von Mitch , 15:56 Uhr

Also das sind ja jetzt keine wirklich neuen Erkenntnisse. Daß strenge Passwortrichtlinien bei Usern nicht umgesetzt werden und zu "Kettenpasswörtern" führen ist auch nichts neues. Mehrfaktor-Authentifizierung ist sicher eine gute Idee, funktioniert prima bei Banktransaktionen mit einem TAN-Generator. Aber MFA mit einem aus meiner Sicht absolut unsicherem System wie einem Android-Smartphone, nein danke.