Britischer Geheimdienst GCHQ empfiehlt vereinfachte Passwortregeln

GCHQDer englische Humor ist ja gleichermaßen berühmt wie berüchtigt – das Statement, welches der britische Geheimdienst GCHQ („Government Communication Headquarters“) aber unlängst von sich gegeben hat, könnte sich kein Komiker Großbritanniens wohl jemals so ausgedacht haben: Die freundliche Organisation, die speziell mit der systematischen Überwachung von UK-Bürgern von sich reden machte, hat nun in einer neuen Informationsbroschüre die Empfehlung ausgesprochen, in Zukunft doch bitte keine zu komplexen Kennwörter zu verwenden.

Wer sich jetzt die Frage stellt, ob die Kolleginnen und Kollegen beim GCHQ möglicherweise zu heiß geduscht haben, sollte sich einmal das Pamphlet „Password Guidance: Simplifying Your Approach“ zu Gemüte führen,  um die Vermutung vielleicht bestätigt zu bekommen.

Hier will man den Leuten ein paar Richtlinien auf den Weg geben, die alles „einfacher“ machen sollen – und macht nebenbei eine Rolle rückwärts, empfahl man doch seinerzeit mehr Komplexität für stärkere Kennwörter. Die Richtlinien sollen nicht nur für den Endverbraucher im heimischen Haushalt, sondern auch für IT-Bedienstete gelten – unter anderem empfiehlt man freundlicherweise das Ändern von Standardkennwörtern sowie die Vermeidung davon, diese in Klartext-Dateien zu speichern.

GCHQ

Ergeben die ersten beiden Empfehlungen noch Sinn, kommt man nachfolgend mit dem Rat um die Ecke, einen „Password Overload“ zu vermeiden, bei dem die User zu viele und leicht zu vergessende Kennwörter wählen. Dieses Verhalten resultiere letztendlich darin, dass die Benutzer die Kennwörter aufschreiben und auf mehreren Plattformen benutzen, was sie wiederum unsicher macht. Auch Firmen sollten – anstatt entsprechende Passwortregeln zu nutzen – lieber stärkere Sicherheitsmaßnahmen im Allgemeinen einsetzen, was dann wiederum keine allzu starken Kennwörter mehr erfordert. Nun ja.

Last but not least kommt vom GCHQ dann noch die finale Empfehlung, am Ende doch auf Passwortmanager zu setzen, die sowohl für das Speichern als auch das Generieren der Kennwörter zuständig sind. Zusätzlich gewürzt wird die Empfehlung allerdings durch das „Aber“, was in Form des Gedankens, dass auch Passwortmanager nur (angreifbare) Softwareprodukte sind, entsprechend Grund zum Nachdenken gibt. Schließlich war doch speziell der GCHQ einer der Organisationen, die durch exzessives Bespitzeln der eigenen Bürger innerhalb der Landesgrenzen (und teilweise darüber hinaus) unlängst traurige Berühmtheit erlangt haben.

Wie handhabt Ihr Eure Passwörter? Seid Ihr vielmehr bequem und nutzt ein Kennwort bei vielen Diensten? Oder ist ein Passwortmanager im Einklang mit Funktionen zur Passwortgenerierung Euer bester Freund in Bezug auf die Kennwortsicherheit? Inwieweit könnte Euch ein Dokument Eurer Regierung dazu bringen, an Eurem Verhalten bezüglich Kennwortrichtlinien etwas zu überdenken?

(via The Independent)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Digital Native, der trotzdem gerne das Mittelalter erlebt hätte und chronischer Device-Switcher. Multimediafreak. England-Fan. Freier Autor & Tech Blogger. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hoffnungsvoller Idealist. Gladbacher Borusse und hauptberuflicher IT-Consultant.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

36 Kommentare

  1. 1Password mit entsprechend langen und zufällig generierten Passwörtern

  2. Ich nutze seit jeher einen PasswordManager/-Safe.
    Zusammen mit meiner Smartcard und einem 16 Zeichen Passwort erscheint mir das sicher genug und ich muss mir nur 1 Passwort merken.

  3. Password manager sind mir seit je her suspekt.
    Da schreibe ich die lieber auf einen Zettel.
    Wenn jemand da ran möchte kann er das wenigstens nicht von China aus tun, sondern muss hier persönlich vorstellig werden…

  4. Wenn das mal kein schwarzer Humor ist..

  5. Ich stimme dem „Pamphlet“ absolut zu,… Da es in erster Linie um Corporate Umgebungen geht. Und da ist es tatsächlich so, das „die eine oder andere“ Applikation Wichtigkeit mit Security betont. Ich sehe auf generell nicht wirklich warum eine Firma egal welcher Größe kein zentralisiertes Passwort management und SSO Implementierungen aufsetzen sollte. Technisch gibt es überhaupt keinen Grund dafür das nicht zu tun und Autorisierungsmanagment ist heute auch kein großes Thema mehr. (Bestes Beispiel ist Unix / Linux und die nicht Nutzung von Kerberos über PAM) Natürlich geht das alles nur wenn jeder kleine IT König etwas Königreich abgeben kann 🙂

  6. Generell haben Sie ja in einigen Punkten recht. Wenn man vom unbedarften Anwender ausgeht, der sein Passwort mit einem Post-It an den Monitor klebt, sorgt das häufige Wechseln eines Passworts oft dafür, dass man sich sehr leicht zu merkende Passwörter aussucht, die dann auch entsprechend leicht zu knacken sind.

    Vielleicht meinen sie mit Simplifizierung auch nur die Reduktion des Wortschatzes, also keine Sonderzeichen und wirre Zahlenkombinationen inklusive Groß- und Kleinschreibung zu nutzen. Hier reicht es oft schon, wenn man ein wesentlich längeres Passwort (z.B. 16 Zeichen) vorschreibt, welches kein Wörterbuch-Eintrag ist.

    Ein Passwort mit allerhand Sonderzeichen bietet weniger Schutz, wenn es zu kurz gehalten wird (z.B. 52 ^ 5 = 380.204.032 Kombinationen) als ein entsprechend langes Passwort mit einem kleineren Zeichensatz (z.B. 26 ^ 10 = 141.167.095.653.376 Kombinationen).

    Ich habe jetzt nicht alles im Detail gelesen, aber die Keywords klingen eigentlich nachvollziehbar, aber etwas kurios geschrieben. Und mit dem Passwort-Manager haben sie am Ende auch recht: Man vertraut seine sensiblen Passwörter einer fremden Software an, für die eventuell schon ein Zero-Day-Exploit existieren könnte.

    Aber immer noch sinnvoller als leicht zu erratende Kennwörter zu nutzen und diese in der berühmten passwords.txt zu speichern 😀 Ich nutze daher auch gerne einen Passwort-Manager.

  7. wie kann man sicher sein dass ein passwort-manager nicht nach hause telefoniert?
    DAS SICHERSTE SIND DIE PASSWÖRTER IN MEINEM KOPF..

  8. Keepass und überall Passwörter so komplex und lang wie zugelassen

  9. LastPass auf EU Server mit zufallsgenerierten Passwörtern und Zugang zum Tresor mit 2FA (Google Authenticator).
    Hat aber einen etwas bitteren Beigeschmack weil in Public Cloud gespeichert, würde da lieber zu Keepass wechseln, aber da ist das synchronhalten nicht so ganz easy und für keepass 2 gibt es keine vernünftige App die unter OSX läuft…

  10. Vor 1 oder 1 Jahren gab es mal in der CT einen netten Artikel über vermeintlich sichere Paßwörter aus Zahlen und Sonderzeichen. Auf den ersten Blick sahen sie deswegen gut aus, waren es aber nicht. Es gibt aber einfache Regeln, die leicht zu merken sind. z.B. ganze Sätze als Paßwort oder die Anfangsbuchstaben der Worte eines Satzes inklusive Zahlen. Der Komplexitätsgrad alleine ist schon lange nicht mehr ausschlaggebend, von daher liegen sie nicht gänzlich falsch.

    @Dieter:
    In dem man den Traffic beobachtet bzw. dem Manager Internetzugang verweigert über ausgehende Firewallregeln.

  11. @ChrisZ:
    Ich war zu langsam mit dem Schreiben, sonst hätte ich Dir den Tipp gegeben Owncloud zu verwenden und darüber Keepass synchron zu halten. Genauso mache ich es nämlich und läuft prima. Genaugenommen verwende ich einen Truecrypt verschlüsselten Stick auf dem Keepass 2 portable und owncloud client portable vorliegen. Ich muß ihn halt immer nur mit dem richtigen Laufwerksbuchstaben mounten.

  12. Es wäre schön, wenn nicht jede Meldung, wo ein Geheimdienst etwas empfiehlt, nicht reflexhaft in die „Ha ha, sie wollen uns nur noch mehr bespitzeln“-Schublade rein käme.

    Der GCHQ (wie auch die NSA) hat nicht nur die Aufgabe, Kommunikation anderer abzuhören, sondern auch, eigene Kommunikation und IT-Sicherheit zu schützen (wie bei uns das BSI). Und darum geht es in diesem Paper.

    Ich finde meinen Arbeitgeber, seine Policies, und das daraus folgende Ergebnis, 1:1 wieder. Sicherheit ist kein Zustand, sondern ein Prozess, und wenn man früher komplexe Kennwörter und Änderungszeiträume empfohlen hat und jetzt nicht mehr, dann ist das eine Anpassung an eine geänderte Lage und die Erkenntnis, dass die alte Empfehlung zu nur mehr Schaden geführt hat, wenn man es über alle Endanwender summiert.

  13. Passwörter werden bei mir auf einen Zettel aufgeschrieben und bei Bedarf eigegeben.
    Eines meiner lautet übrigens:

  14. Für die nicht so sensiblen Webseiten und Foren: individuelle Mailadresse als Login (@..) und ein Passwort, dass nach einem standardisierten Verfahren aus dem URL generiert wird. Funktioniert leider nur problemlos, so lange der Anbieter nicht gehackt wird und ich das Passwort ändern muss 😉

    Für die sensibleren Webseiten, auf denen ich z.B. einen finanziellen Schaden erleiden könnte, kommt ein mind. 10stelliiges, individuelles Passwort mit Groß- und Kleinbuchstaben und Ziffern zum Einsatz, dass über die Android-App „Master Password“ generiert wird. Die App selbst wird mit einem 20 Zeichen langen Passwort geschützt. Master Password kennt kein „falsches“ Passwort, sondern generiert für jedes eingegebene Passwort entsprechende Account-Passwörter. Nur wenn das korrekte Passwort eingegeben wird, werden auch die korrekten Account-Passworte errechnet.

  15. Zum Komplexität von Passwörtern: http://xkcd.com/936/

  16. Wie bereits unter dem Artikel „Passwörter einfach erklärt“ geschrieben, kann ich http://masterpasswordapp.com empfehlen. Es werden keine Passwörter gespeichert und man hat sie immer und überall synchron 😉

  17. Seit ich mal aus Versehen mein one-for-all Passwort auf github in einem commit veröffentlicht habe (hehe), habe ich mir KeePass eingerichtet. Geniales Tool, vorrausgesetzt, man hat die richtigen Plug-Ins.

  18. jkrwdf – Das sollte auch nicht in die „Ha, ha“-Schublade abzielen. Fakt ist, dass die Kollegen teilweise mit einer Doppelmoral daherkommen, die es seinesgleichen sucht. Das Dokument ist an sich stimmig und ein gutes Beispiel, wie auch das BSI oder Wirtschaftsprüfer wie PwC & Co. Kennwortrichtlinien gerne sehen würden, wäre – und darauf ziele ich einfach mal ab – die Vorgeschichte nicht. Das man da auch in anderer Hinsicht sensibler drauf reagiert, liegt dann doch auf der Hand – finde ich!

  19. @mnemo Jedes Mal, wenn ich über die Komplexität von Passwörten nachdenke, fällt mir als erstes Beispiel „correct horse battery staple“ ein, so sehr hat sich der Comic seit Veröffentlichung eingebrannt.

  20. @mich: DAS Passwort sollte man aber nicht tatsächlich verwenden. 😉

  21. Ich benutze das simple Tools ‚pass‘ zum Verwalten meiner Passwoerter, welche mit meinem PGP-Key verschluesselt sind.

  22. Edit: Das ganze kann man auch gut Syncen mit den üblichen verdächtigen

  23. @mnemo: Haha, genau das war auch mein erster Gedanke! 🙂

  24. KeePass2.
    Stationär am PC und unterwegs (Büro etc.) externe Festplatte als portable App.
    Synchronisation über PureSync.

  25. Verschlüsselte Messenger sollen im UK ja auch verboten werden.

    Muss also doch was dran sein, an der Qualiiät von Threema & Co.!

  26. Fehlt nur noch dass sie dem Nutzer eine Liste „sicherer“ Passwörter in die Hand geben die man nur noch abtippen und ankreuzen muss.

    Verrückte Welt..

  27. Ich trage zusätzlich einen spitzen Hut aus Alu-Folie, damit meine sehr langen und komplexen Passwörter weder von den diversen Geheimdiensten, Aliens oder anderen subversiven Elementen aus meinem Kopf gesaugt werden können!

  28. Cast Away. Und Willson ist der Regierungschef. Oder wie?!

  29. Ich nutze Keepass. Den gesamten Online-Passwortmanger-Diensten wie Lastpass oer 1 Password traue ich nicht über den Weg. Ich hätte dort keine Kontrolle darüber was der Anbieter mit meinen Passwörtern macht! Klar, versprechen sie, dass sie es nicht entschlüsseln können, aber kontrollieren kann ich es ebend nicht. Vertrauen ist bei Freunden gut, bei allen anderen ist Kontrolle besser!

    Für soetwas kommt nur eine OpenSource-App in Frage, bei der man
    1. Einblick in den Quellcode nehmen kann.
    2. Den Container da speichern kann, wo ich es für richtig halte (z.B. ein USB-Stick)
    3. Ich als Schlüssel auch einen Kombischlüssel festlegen kann. Wie z.B. ein Passwort zusammen mit einer Schlüsseldatei oder Smartcard.

  30. Kein Passwortprogramm. Irgendwie ist mein Vertrauen in diese Art von Software begrenzt und ich habe immer Angst, aus irgendwelchen Gründen auf gar nichts mehr zugreifen zu können. Auch wenn es irrational ist, wie meine Gattin seit Jahren und über viele Handheld/Smartphone Generationen beweist.

    Ich versuche einen Mittelweg.
    Für einige mir unwichtige Dienste verwende ich gleiche Passwörter.
    Für einige wichtige Dienste gibt es verschiedene und Bankkonten bzw. alles was mit Geld zu tun hat (Amazon, Ebay z.B.) bekommen ein spezielles Verfahren mit relativ häufiger Änderung.
    Das funktioniert seit Jahren hervorragend und ist auch mit durchschnittlichem Aufwand zu schaffen.

  31. Ich verwende verschiedene Passwörter, die wenn überhaupt, offline aufgeschrieben sind.

  32. Florian (FvC) says:

    Ich nutze seit gefühlten 15 Jahren jpasskeeper (als Java Anwendung) und somit plattformunabhängig.
    Passwörter generiere ich mir selbst in Verbindung mit div. festgelegte Parametern, Dienstekennung, Sonderzeichen und einem Algorithmus, welcher mehrere Zahlenwerte aus dem Passwortnamen errechnet. Damit muss ich mir unterwegs keine Passwörter merken sondern nur meine geheimen Parameter. Alles andere leite ich ab und errechne es bei der Nutzung des gewünschten Dienstes schnell im Kopf. Je nach Parametern kann ich dauerhaft Passwörter generieren die mind. 10 und mehr Zeichen beinhalten.

  33. Keepass mit 21-stelligem PW, Boxcryptor/deutsche Cloud und Paranoia ausschalten 😉

  34. 1Password mit starkem Master-Passwort und Sync über Dropbox. Für wichtige Accounts (Google, Facebook, Dropbox, MS, etc.) zusätzlich 2 Factor Authentication mit Authy. Papierlösung ist mir zu riskant, da ich die Passwörter unterwegs benötige und mir das Mitnehmen eines Zettels zu gefährlich ist, falls ich diesen verliere oder jemand den ausspäht.

  35. …Tjoa. Interessanter Artikel.
    Bei mir: Für („normal-wichtige“ Passwörter) nehme ich auch Keepass. Allerdings wird die Datei nicht gesynct und Keepass bekommt auch keinen Zugang zum Internet. Wichtige Passwörter im Kopf oder im Ordner/auf dem Zettel.

    Die *.kdbx Datei liegt außerdem nicht offen auf dem PC sondern per Drittanbieter Software (damals unter Windows) in verschlüsselter Datei.

    Jetzt unter Linux (Ubuntu Gnome) habe ich einen verschlüsselten „Private“ Ordner angelegt. Das geht hier supi und einfach. Daher entfällt das zusätzliche Verschlüsseln für meine Wenigkeit.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.