Britischer Geheimdienst GCHQ empfiehlt vereinfachte Passwortregeln
Der englische Humor ist ja gleichermaßen berühmt wie berüchtigt – das Statement, welches der britische Geheimdienst GCHQ („Government Communication Headquarters“) aber unlängst von sich gegeben hat, könnte sich kein Komiker Großbritanniens wohl jemals so ausgedacht haben: Die freundliche Organisation, die speziell mit der systematischen Überwachung von UK-Bürgern von sich reden machte, hat nun in einer neuen Informationsbroschüre die Empfehlung ausgesprochen, in Zukunft doch bitte keine zu komplexen Kennwörter zu verwenden.
Wer sich jetzt die Frage stellt, ob die Kolleginnen und Kollegen beim GCHQ möglicherweise zu heiß geduscht haben, sollte sich einmal das Pamphlet „Password Guidance: Simplifying Your Approach“ zu Gemüte führen, um die Vermutung vielleicht bestätigt zu bekommen.
Hier will man den Leuten ein paar Richtlinien auf den Weg geben, die alles „einfacher“ machen sollen – und macht nebenbei eine Rolle rückwärts, empfahl man doch seinerzeit mehr Komplexität für stärkere Kennwörter. Die Richtlinien sollen nicht nur für den Endverbraucher im heimischen Haushalt, sondern auch für IT-Bedienstete gelten – unter anderem empfiehlt man freundlicherweise das Ändern von Standardkennwörtern sowie die Vermeidung davon, diese in Klartext-Dateien zu speichern.
Ergeben die ersten beiden Empfehlungen noch Sinn, kommt man nachfolgend mit dem Rat um die Ecke, einen „Password Overload“ zu vermeiden, bei dem die User zu viele und leicht zu vergessende Kennwörter wählen. Dieses Verhalten resultiere letztendlich darin, dass die Benutzer die Kennwörter aufschreiben und auf mehreren Plattformen benutzen, was sie wiederum unsicher macht. Auch Firmen sollten – anstatt entsprechende Passwortregeln zu nutzen – lieber stärkere Sicherheitsmaßnahmen im Allgemeinen einsetzen, was dann wiederum keine allzu starken Kennwörter mehr erfordert. Nun ja.
Last but not least kommt vom GCHQ dann noch die finale Empfehlung, am Ende doch auf Passwortmanager zu setzen, die sowohl für das Speichern als auch das Generieren der Kennwörter zuständig sind. Zusätzlich gewürzt wird die Empfehlung allerdings durch das „Aber“, was in Form des Gedankens, dass auch Passwortmanager nur (angreifbare) Softwareprodukte sind, entsprechend Grund zum Nachdenken gibt. Schließlich war doch speziell der GCHQ einer der Organisationen, die durch exzessives Bespitzeln der eigenen Bürger innerhalb der Landesgrenzen (und teilweise darüber hinaus) unlängst traurige Berühmtheit erlangt haben.
Wie handhabt Ihr Eure Passwörter? Seid Ihr vielmehr bequem und nutzt ein Kennwort bei vielen Diensten? Oder ist ein Passwortmanager im Einklang mit Funktionen zur Passwortgenerierung Euer bester Freund in Bezug auf die Kennwortsicherheit? Inwieweit könnte Euch ein Dokument Eurer Regierung dazu bringen, an Eurem Verhalten bezüglich Kennwortrichtlinien etwas zu überdenken?
Wird geladen ...
1Password mit entsprechend langen und zufällig generierten Passwörtern
Ich nutze seit jeher einen PasswordManager/-Safe.
Zusammen mit meiner Smartcard und einem 16 Zeichen Passwort erscheint mir das sicher genug und ich muss mir nur 1 Passwort merken.
Password manager sind mir seit je her suspekt.
Da schreibe ich die lieber auf einen Zettel.
Wenn jemand da ran möchte kann er das wenigstens nicht von China aus tun, sondern muss hier persönlich vorstellig werden…
Wenn das mal kein schwarzer Humor ist..
Ich stimme dem „Pamphlet“ absolut zu,… Da es in erster Linie um Corporate Umgebungen geht. Und da ist es tatsächlich so, das „die eine oder andere“ Applikation Wichtigkeit mit Security betont. Ich sehe auf generell nicht wirklich warum eine Firma egal welcher Größe kein zentralisiertes Passwort management und SSO Implementierungen aufsetzen sollte. Technisch gibt es überhaupt keinen Grund dafür das nicht zu tun und Autorisierungsmanagment ist heute auch kein großes Thema mehr. (Bestes Beispiel ist Unix / Linux und die nicht Nutzung von Kerberos über PAM) Natürlich geht das alles nur wenn jeder kleine IT König etwas Königreich abgeben kann 🙂
Generell haben Sie ja in einigen Punkten recht. Wenn man vom unbedarften Anwender ausgeht, der sein Passwort mit einem Post-It an den Monitor klebt, sorgt das häufige Wechseln eines Passworts oft dafür, dass man sich sehr leicht zu merkende Passwörter aussucht, die dann auch entsprechend leicht zu knacken sind.
Vielleicht meinen sie mit Simplifizierung auch nur die Reduktion des Wortschatzes, also keine Sonderzeichen und wirre Zahlenkombinationen inklusive Groß- und Kleinschreibung zu nutzen. Hier reicht es oft schon, wenn man ein wesentlich längeres Passwort (z.B. 16 Zeichen) vorschreibt, welches kein Wörterbuch-Eintrag ist.
Ein Passwort mit allerhand Sonderzeichen bietet weniger Schutz, wenn es zu kurz gehalten wird (z.B. 52 ^ 5 = 380.204.032 Kombinationen) als ein entsprechend langes Passwort mit einem kleineren Zeichensatz (z.B. 26 ^ 10 = 141.167.095.653.376 Kombinationen).
Ich habe jetzt nicht alles im Detail gelesen, aber die Keywords klingen eigentlich nachvollziehbar, aber etwas kurios geschrieben. Und mit dem Passwort-Manager haben sie am Ende auch recht: Man vertraut seine sensiblen Passwörter einer fremden Software an, für die eventuell schon ein Zero-Day-Exploit existieren könnte.
Aber immer noch sinnvoller als leicht zu erratende Kennwörter zu nutzen und diese in der berühmten passwords.txt zu speichern 😀 Ich nutze daher auch gerne einen Passwort-Manager.
wie kann man sicher sein dass ein passwort-manager nicht nach hause telefoniert?
DAS SICHERSTE SIND DIE PASSWÖRTER IN MEINEM KOPF..
Keepass und überall Passwörter so komplex und lang wie zugelassen
LastPass auf EU Server mit zufallsgenerierten Passwörtern und Zugang zum Tresor mit 2FA (Google Authenticator).
Hat aber einen etwas bitteren Beigeschmack weil in Public Cloud gespeichert, würde da lieber zu Keepass wechseln, aber da ist das synchronhalten nicht so ganz easy und für keepass 2 gibt es keine vernünftige App die unter OSX läuft…
Vor 1 oder 1 Jahren gab es mal in der CT einen netten Artikel über vermeintlich sichere Paßwörter aus Zahlen und Sonderzeichen. Auf den ersten Blick sahen sie deswegen gut aus, waren es aber nicht. Es gibt aber einfache Regeln, die leicht zu merken sind. z.B. ganze Sätze als Paßwort oder die Anfangsbuchstaben der Worte eines Satzes inklusive Zahlen. Der Komplexitätsgrad alleine ist schon lange nicht mehr ausschlaggebend, von daher liegen sie nicht gänzlich falsch.
@Dieter:
In dem man den Traffic beobachtet bzw. dem Manager Internetzugang verweigert über ausgehende Firewallregeln.
@ChrisZ:
Ich war zu langsam mit dem Schreiben, sonst hätte ich Dir den Tipp gegeben Owncloud zu verwenden und darüber Keepass synchron zu halten. Genauso mache ich es nämlich und läuft prima. Genaugenommen verwende ich einen Truecrypt verschlüsselten Stick auf dem Keepass 2 portable und owncloud client portable vorliegen. Ich muß ihn halt immer nur mit dem richtigen Laufwerksbuchstaben mounten.
Es wäre schön, wenn nicht jede Meldung, wo ein Geheimdienst etwas empfiehlt, nicht reflexhaft in die „Ha ha, sie wollen uns nur noch mehr bespitzeln“-Schublade rein käme.
Der GCHQ (wie auch die NSA) hat nicht nur die Aufgabe, Kommunikation anderer abzuhören, sondern auch, eigene Kommunikation und IT-Sicherheit zu schützen (wie bei uns das BSI). Und darum geht es in diesem Paper.
Ich finde meinen Arbeitgeber, seine Policies, und das daraus folgende Ergebnis, 1:1 wieder. Sicherheit ist kein Zustand, sondern ein Prozess, und wenn man früher komplexe Kennwörter und Änderungszeiträume empfohlen hat und jetzt nicht mehr, dann ist das eine Anpassung an eine geänderte Lage und die Erkenntnis, dass die alte Empfehlung zu nur mehr Schaden geführt hat, wenn man es über alle Endanwender summiert.
Passwörter werden bei mir auf einen Zettel aufgeschrieben und bei Bedarf eigegeben.
Eines meiner lautet übrigens:
Für die nicht so sensiblen Webseiten und Foren: individuelle Mailadresse als Login (@..) und ein Passwort, dass nach einem standardisierten Verfahren aus dem URL generiert wird. Funktioniert leider nur problemlos, so lange der Anbieter nicht gehackt wird und ich das Passwort ändern muss 😉
Für die sensibleren Webseiten, auf denen ich z.B. einen finanziellen Schaden erleiden könnte, kommt ein mind. 10stelliiges, individuelles Passwort mit Groß- und Kleinbuchstaben und Ziffern zum Einsatz, dass über die Android-App „Master Password“ generiert wird. Die App selbst wird mit einem 20 Zeichen langen Passwort geschützt. Master Password kennt kein „falsches“ Passwort, sondern generiert für jedes eingegebene Passwort entsprechende Account-Passwörter. Nur wenn das korrekte Passwort eingegeben wird, werden auch die korrekten Account-Passworte errechnet.
Zum Komplexität von Passwörtern: http://xkcd.com/936/
Wie bereits unter dem Artikel „Passwörter einfach erklärt“ geschrieben, kann ich http://masterpasswordapp.com empfehlen. Es werden keine Passwörter gespeichert und man hat sie immer und überall synchron 😉
Seit ich mal aus Versehen mein one-for-all Passwort auf github in einem commit veröffentlicht habe (hehe), habe ich mir KeePass eingerichtet. Geniales Tool, vorrausgesetzt, man hat die richtigen Plug-Ins.
jkrwdf – Das sollte auch nicht in die „Ha, ha“-Schublade abzielen. Fakt ist, dass die Kollegen teilweise mit einer Doppelmoral daherkommen, die es seinesgleichen sucht. Das Dokument ist an sich stimmig und ein gutes Beispiel, wie auch das BSI oder Wirtschaftsprüfer wie PwC & Co. Kennwortrichtlinien gerne sehen würden, wäre – und darauf ziele ich einfach mal ab – die Vorgeschichte nicht. Das man da auch in anderer Hinsicht sensibler drauf reagiert, liegt dann doch auf der Hand – finde ich!
@mnemo Jedes Mal, wenn ich über die Komplexität von Passwörten nachdenke, fällt mir als erstes Beispiel „correct horse battery staple“ ein, so sehr hat sich der Comic seit Veröffentlichung eingebrannt.
@mich: DAS Passwort sollte man aber nicht tatsächlich verwenden. 😉