Passwortsicherheit

Mann Ärger Haare raufen

„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: „Ich bereue den Passwort-Wahnsinn“

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
  • Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“ aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

  • Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
  • Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
  • Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere – unabhängige – Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag „Über Bord mit veralteten starren Passwort-Richtlinien“.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

Sichere und komfortable Passwort-Verwaltung mit Keepass

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahlreiche Mythen rund um die Themen Passwort und Sicherheit, die sich hartnäckig halten. Und das obwohl allen Akteuren eigentlich klar sein sollte, dass die Ideen dahinter aus dem Bereich Fantasy entstammen, jedoch nicht zur Passwort-Sicherheit beitragen. Anhänger der Theorien „Passwörter müssen immer Sonderzeichen und Zahlen enthalten“ und „Passwörter muss man regelmäßig wechseln“ lassen sich davon eh nicht abbringen. Die Vernünftigen der Zunft haben die Zeichen der Zeit erkannt und drangsalieren die Nutzer nicht mehr mit diesem Ballast, der konkret beleuchtet eher Unsicherheit statt Sicherheit bringt. Doch hier sollen keine Glaubenskriege ausgefochten werden. Wen es interessiert, hier haben wir weitere Details dazu zusammengetragen:

Fakt ist, unterschiedliche Logins / Accounts sollten auch unterschiedliche Passwörter nutzen. Damit ist sichergestellt, dass ein einzelner kompromittierter Zugang nicht zum Öffnen aller anderen Zugänge genutzt werden kann. Unabhängig von Passwortlänge und Komplexität kommen hier für einen Anwender im Laufe der digitalen Nutzung zig Login-Daten zusammen (PC Anmeldung, Programm Anmeldung, Cloud-Speicher Anmeldung, diverse Accounts bei Online-Shops, PINs und und und). Und alle Zugänge haben ein unterschiedliches Passwort. Wer soll sich das alles merken? Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass.

Keepass – oder das letzte Passwort, dass Sie sich merken müssen

Wenn Sie die Suchmaschine Ihrer Wahl bemühen, werden Sie mit den Suchbegriffen „Passwort Tresor“ unzählige Treffer finden. Über die Sinnhaftigkeit vieler Angebote lässt sich trefflich streiten. Es bleibt immer zu hinterfragen, ob Sie Ihre Zugangsdaten einem fremden Dienst / Anbieter anvertrauen (möglicherweise noch aus den USA oder Russland) oder nicht doch lieber Herr über Ihre eigenen Passwörter bleiben wollen. Ein Tool hierzu ist Keepass. Keepass steht für eigentlich alle gängigen Plattformen wie Windows, Linux, MacOS, iOS, Android und andere zur Verfügung. Somit ist sichergestellt, den eigenen Passwort-Tresor auch plattformübergreifend nutzen zu können. Ein Tresor an einer zentralen Stelle erleichtert den Aktualisierungsaufwand enorm. Wir haben unsere Passwort-Tresore beispielsweise in einem Cloud-Speicher abgelegt. Bevor jetzt jemand den Kopf schüttelt, dieser Speicherplatz ist zusätzlich noch mal mit einem separaten und plattformunabhängigen Tool verschlüsselt 🙂

In einem mit einem guten Masterpasswort verschlüsselten Passwort-Tresor mit Keepass haben Sie ab sofort eine zentrale Zugriffsmöglichkeit auf  alle Ihre schützenswerten Informationen beginnend mit Login-Informationen (Benutzernamen und Passwörter), aber auch für PIN oder Lizenzschlüssel für gekaufte Software. Die Einsatzzwecke eines solchen Tresors mit Keepass sind sehr umfangreich. Was und wie erfahren Sie in in unserer PDF Anleitung.

Doch jetzt genug geschrieben. Am Ende dieses Beitrags finden Sie eine konkrete Anleitung zur Installation und Nutzung von Keepass sowohl für den geschäftlichen / dienstlichen als auch privaten Einsatz. Gerne dürfen Sie das Dokument intern und extern weitergeben. Wir würden uns freuen, wenn Sie die Hinweise auf unsere Urheberschaft nicht entfernen. Verhindern können und wollen wir das nicht. Was wir aber ungern sehen würden, wäre dieses Dokument im Rahmen von Bezahlangeboten online oder Print wiederzufinden. Fair play!

Kritische Stimme zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schatten. Auch Passwort-Tresore haben Schwächen. Einen sehr empfehlenswerten Beitrag gibt es von Ralph Dombach hier zu lesen:

https://www.security-insider.de/password-manager-nein-danke-a-689795/

Doch hier der Download „Anleitung und Einsatzmöglichenkeiten Keepass“

Sichere Passwortverwaltung mit Keepass
1882 Downloads