"Ich bereue den Passwort-Wahnsinn" - weg mit den Passwort Mythen

Wie­so bis­her ein Pass­wort dau­ernd gewech­selt wer­den musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf. Nach sei­ner Pen­sio­nie­rung fand Burr offe­ne Wor­te für sei­ne dama­li­ge Emp­feh­lung ein siche­res Pass­wort: “Ich bereue den Passwort-Wahnsinn”

Bis­her galt ein Pass­wort als sicher, wenn es kom­plex war und dau­ernd geän­dert wurde

Das NIST emp­fahl bis­her zur Passwortsicherheit:

1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Sonderzeichen)
2. Pass­wör­ter sol­len alle 90 Tage gewech­selt werden

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit hof­fent­lich gestoppt. Bis sich das in der Lite­ra­tur und erst recht in der Pra­xis durch­setzt, wird es jedoch eini­ge Zeit brau­chen. Im Final Draft zum Bau­stein ORP4 des BSIFinal Draft zum Bau­stein ORP4 des BSI (IT-Grund­schutz) heißt es im Okto­ber 2019:

IT-Sys­te­me oder Anwen­dun­gen SOLLTEN NUR mit einem vali­den Grund zum Wech­sel des Pass­worts auf­for­dern. Rei­ne zeit­ge­steu­er­te Wech­sel SOLLTEN ver­mie­den wer­den. Es MÜSSEN Maß­nah­men ergrif­fen wer­den, um die Kom­pro­mit­tie­rung von Pass­wör­tern zu erken­nen. Ist dies nicht mög­lich, so SOLLTE geprüft wer­den, ob die Nach­tei­le eines zeit­ge­steu­er­ten Pass­wort­wech­sels in Kauf genom­men wer­den kön­nen und Pass­wör­ter in gewis­sen Abstän­den gewech­selt werden.

In den aktu­ell (Stand 02/​2020) ver­öf­fent­lich­ten Bau­stein OPR4Bau­stein OPR4 hat dies lei­der noch kei­nen Ein­zug gefun­den. Aber die Rich­tung stimmt.

Eine siche­re Passwort-Richtlinie

Die aktua­li­sier­ten Pass­wort­emp­feh­lun­gen lau­ten (zusam­men­ge­fasst):

• Kei­ne Son­der­zei­chen mehr: Eine Aus­wahl an Groß- und Klein­buch­sta­ben zusam­men mit Zah­len ist aus­rei­chend. Besser ..
• Län­ge­re Pass­wör­ter: Ein um nur einen Buch­sta­ben ver­län­ger­tes Pass­wort ver­grö­ßert den Such­raum für Pass­wort­kna­cker mehr als ein Son­der­zei­chen. 12 Stel­len sind Mini­mum, bes­ser 20, Opti­mum 64. Dabei dür­fen durch­aus gan­ze Sät­ze zum Ein­satz kom­men. Solan­ge es sich dabei nicht um bekann­te Zita­te oder Rede­wen­dun­gen han­delt (Risi­ko Wörterbuchattacke!).
• Kei­ne regel­mä­ßi­gen Ände­run­gen mehr: Es erhöht sich ledig­lich die Gefahr des Ver­ges­sens oder Auf­schrei­bens von Pass­wör­tern. Das schafft kei­ne Sicher­heit, im Gegenteil!
• Kei­ne Sicher­heits­fra­gen zur Frei­schal­tung: Wo liegt die Sicher­heit, wenn sich die Fra­ge “Wie heißt ihr Haus­tier?” aus dem öffent­li­chen Face­book Pro­fil eines Nut­zers beant­wor­ten lässt?

Wir emp­feh­len zusätz­lich eine Bedro­hungs­ana­ly­se für die zu schüt­zen­den Log­ins. Grei­fen wei­te­re Sicher­heits­maß­nah­men wie auto­ma­ti­sche Sper­re nach x Fehl­ver­su­chen , kön­nen auch kür­ze­re Pass­wör­ter durch­aus Sinn machen. Beant­wor­ten Sie sich doch ein­fach mal die Fra­ge, wie­so Ban­ken eine EC-Kar­te mit einer PIN aus 4 Zif­fern schüt­zen? Weil Sie kei­ne Ahnung von Sicher­heit und Risi­ken haben? Oder weil die Kar­te nach 3 Fehl­ver­su­chen ein­fach gesperrt wird?

Natür­lich kann es zwin­gen­de Grün­de geben, ein Pass­wort doch mal zu ändern:

• Es hat jemand bei der Ein­ga­be des Pass­worts zuge­se­hen (Should­er Surfing)
• Sie haben Ihr Pass­wort wei­ter­ge­ge­ben, statt einen Stell­ver­tre­ter­zu­griff einzurichten
• Ihre Zugangs­da­ten wer­den bei „Have I been paw­ned“„Have I been paw­ned“ oder auch dem Iden­ti­ty Leak Che­ckerIden­ti­ty Leak Che­cker des HPI (umfang­rei­cher als HIBP) als kom­pro­mit­tiert gemeldet

Aber nur weil jedes Jahr der sog. „Chan­ge your Password“-Day aus­ge­ru­fen ist, brau­chen Sie nicht aktiv zu werden.

In vie­len Fäl­len kann als wei­te­re — unab­hän­gi­ge — Schutz­maß­nah­me auch eine Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) zum Ein­satz kom­men und sehr nütz­lich sein. Neben dem Log­in mit Benut­zer­na­me und Pass­wort wird über eine wei­te­re unab­hän­gi­ge Kom­po­nen­te (Fak­tor) ein mehr­stel­li­ger Code zeit­ab­hän­gig gene­riert, der zusätz­lich ange­ge­ben wer­den muss. Die­se Kom­po­nen­te kann ein Hard­ware-Token, eine Key­card oder auch ein Smart­phone sein. Es gibt zahl­rei­che wei­te­re Mög­lich­kei­ten für eine 2FA (Bei­trag auf Wiki­pe­dia mit Erklä­run­gen). Durch die Kom­bi­na­ti­on die­ser bei­den von­ein­an­der unab­hän­gi­gen not­wen­di­gen Anga­ben für den Log­in ent­steht ein sehr hoher Schutz. Vor­aus­ge­setzt, auf den zwei­ten Fak­tor wird gut auf­ge­passt (Schutz des Smart­phones mit Code-Sper­re bei Inak­ti­vi­tät, Absi­che­rung der 2FA App auf dem Smart­phone mit wei­te­rem Code oder Fingerprint).

Suchen Sie Argu­men­te, die haus­in­ter­ne Pass­wort­richt­li­nie zeit­ge­mäß und sicher umzu­ge­stal­ten? Ori­en­tie­ren Sie sich an der neu­en NIST Poli­cy. Fak­ten zu den Mythen und Irr­tü­mern als Argu­men­ta­ti­ons­hil­fe fin­den Sie in unse­rem Blog­bei­trag “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Sinn­voll ist es sicher­lich, Admin-Kenn­wör­ter stren­ge­ren Schutz­re­ge­lun­gen zu unter­wer­fen. Ser­ver­diens­te soll­te nicht nicht als Haupt­ad­min lau­fen, son­dern einen eige­nen Diens­te-Admin erhal­ten. Admi­nis­tra­to­ren ver­fü­gen über zwei Nut­zer­ac­counts: Den per­so­nen­be­zo­ge­nen Admi­nis­tra­ti­ons­ac­count und einen Stan­dard­nut­zer. Kei­ne Admin-Auf­ga­be zu erle­di­gen, dann wird auch nur im Stan­dard­nut­zer gear­bei­tet. Und eigent­lich selbst­er­klä­rend: Admi­nis­tra­ti­ons-Accounts haben per Grup­pen­richt­li­nie kei­nen Zugriff auf das Inter­net (lei­der immer noch nicht weit verbreitet).

Auch am Pri­vat-PC gilt: Ein Admin-Account für Instal­la­ti­on und Kon­fi­gu­ra­ti­on, ein nor­ma­ler Nut­zer mit ein­ge­schränk­ten Rech­ten für das täg­li­che Sur­fen, Mai­len und Dad­deln. Kos­tet wenig Zeit für das Umlog­gen bei Bedarf, erhöht aber das Schutz­le­vel um einiges.

Und nut­zen Sie für die Flut an Pass­wör­tern doch ein­fach einen Pass­wort-Tre­sor (kei­ne Cloud-Anbie­ter) wie Kee­pass. Eine prak­ti­sche Anlei­tung und Hil­fe fin­den Sie hier im Blog.Eine prak­ti­sche Anlei­tung und Hil­fe fin­den Sie hier im Blog.

Wei­te­re Bei­trä­ge zum The­ma Passwort

• Hit­lis­te unsi­che­rer Passwörter
• Pass­wort-Safes zu Unrecht unbeliebt

Ihr Daten­schutz­be­auf­trag­ter oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stützt Sie ger­ne bei die­sem The­ma. Sie haben kei­nen? Spre­chen Sie uns an.

Update 01.02.2020:
Ergän­zen von Grün­den für Pass­wort-Wech­sel, Hin­wei­se auf Umgang mit Admin-Accounts, Ver­weis auf BSI Draft Bau­stein ORP.4