3 neue und wichtige Richtlinien für Passwörter

Nach langen Wochen im Büro, am besten noch in den Monaten vor den Sommerferien, hat man es geschafft und der Urlaub ist endlich da. Es werden zwei, drei oder gleich 4 Wochen in denen man die Arbeit vergisst und sich ganz und gar seinen Hobbies, der Familie oder dem Partner wendet. Sobald aber der Büroalltag beginnt ist unsere erste Handlung, nach dem Kaffeekochen, der Login an unserem Rechner.

"Passwort abgelaufen, bitte wählen Sie ein neues!"

Mist. Du hast es geschafft dich an dein kryptisches Passwort zu erinnern, aber ein neues auswählen um 07:00 Uhr morgens an einem Montag, nach dem Urlaub? Jetzt kommen die vielen Passwortrichtlinien, die Windows nirgendwo aufführt. An denen muss man sich nun entlang hangeln. Überall heißt es nun:

  • Mindestens 8 Zeichen
  • Mindestens 1 Großbuchstabe
  • Mindestens 1 Zahl
  • Mindestens 1 Sonderzeichen
  • Die letzten 7 Passwörter dürfen nicht verwendet werden
  • Das neue Passwort darf dem vorherigen nicht ähnlich sein („MeinPasswort10.“ und „MeinPasswort11.“)

Es ist durchaus sinnvoll diese ganzen Regeln einzuhalten. Ich bin der letzte, der hier dagegen hält und für unsichere Passwörter plädiert. Aber eigentlich wird hier mit Kanonen auf Spatzen geschossen. Sich ändernde Passwörter sind gut, aber meistens übertreiben wir es mit den Regeln, obwohl mit ganz anderen und einfacheren Möglichkeiten sichere Passwörter generieren können.

Dies habe ich mir natürlich nicht ausgedacht und schon gar nicht als Standard festgelegt. Aber die NIST macht sich hierzu viele Gedanken und bringt beispielsweise diesen an die Öffentlichkeit in Form der SP800-63-3 Digital Identity Guidelines (NIST wählt übrigens auch aus, welcher Algorithmus hinter DES, AES, SHA1, SHA2 oder SHA3 stecken darf).

Passwörter: So sehen die Vorschläge aus

1. Passwort Komplexität eindämmen

  • Problem: Komplexe Passwörter sind schwerer zu merken. Sie erhöhen die Fehlerrate beim Eintippen und am Ende kostet es eine große Stange Geld, wenn der Support ständig mit Sperrungen behelligt wird.
  • Lösung: Beliebig lange, sogenannten Passphrases, erlauben. Dabei kann es sich um Sätze handeln, die sich jeder merken kann, weil es ein Zitat aus einem Lieblingsbuch, -film, -musik sein könnte.
  • Beispiel: „Dear Chasey Lane 1 wrote to explain 1 am your biggest fan.“ aus dem nicht ganz jugendfreien Song von der Bloodhound Gang.

2. Passwort Gültigkeit abschaffen

  • Problem: Sich laufend neue Passwörter ausdenken, die man sich merken kann ist schwierig. Deshalb schummeln viele und zählen einfach den Zähler hoch. Im Endeffekt bringt das absolut keinen nennenswerten Mehrwert. Zumal ein Wechsel nur dann sinnvoll ist, wenn tatsächlich eine Kompromittierung vorliegen würde.
  • Lösung: Die Passwortgültigkeit auf eine sehr lange Zeit setzen, beispielsweise 1-2 Jahre. Man weiß ja nie welche Schläfer-Malware nur darauf wartet zu starten.

3. Passwort Manager einführen

  • Problem: So viele Passwörter die alle unterschiedlich sein sollen, und das alles ohne externe Hilfe? Das ging vielleicht in der Vergangenheit als das Leben noch anders aussah. Heute fällt es uns schwer Telefonnummern im Kopf zu speichern.
  • Lösung: Passwort Manager dürfen keine Extrawurst sein. Sie müssen integraler Bestandteil sein, den die User überall nutzen sollen, um die entsprechende Sicherheit für das Unternehmen gewährleisten zu können (Hier können dann die komplexesten der komplexen Passwörter gerne verwendet werden)

Fazit

So wie es aussieht, gibt es bessere Möglichkeiten mit Passwörtern umzugehen. Ich persönlich halte von den langen Passphrases viel, ebenso wie vom Passwort Manager. Das sind einfach Techniken, die unabdingbar sein sollten. Auch wenn Komplexität, Länge schlägt. Am allerwichtigsten finde ich aber, dass Passwörter immer etwas darstellen, dass eingetippt werden muss. Es ist ein Geheimnis, dass der User mit sich trägt, oder zumindest verschlüsselt irgendwo bereitsteht. Ich kann die aktuellen Bemühungen von Samsung, Apple & Co. absolut nicht unterstützen. Der Fingerabrduck und das Gesicht sind als Passwörter völlig ungeeignet. Sie sind de facto kein klassisches Geheimnis, dass sich als Passwort anbieten würde. Ähnliches gibt es auch bei so manchen Online Bibliotheken, bei denen der Loginame die Benutzernummer auf dem Ausweis ist und das Passwort ist das Geburtsdatum. Ich meine behaupten zu können, dass letzteres bei vielen Menschen sogar über Google gefunden werden kann.

 

Beitragsbild: Linux password file von Christiaan Colen – Lizenz: CC BY-SA 2.0

Artikel teilen:

Kommentar verfassen