NIST hebt Passwortkomplexität und Reset-Regeln auf
von caschy | 25 Kommentare
Das National Institute of Standards and Technology (NIST) empfiehlt nicht mehr, Passwörter aus einer Mischung von Zeichentypen zu erstellen oder Passwörter regelmäßig zu ändern. In der zweiten öffentlichen Entwurfsversion seiner Passwortrichtlinien (SP 800-63-4) beschreibt NIST technische Anforderungen sowie empfohlene Best Practices für das Passwortmanagement und die Authentifizierung.
Die neuesten Richtlinien fordern Credential Service Provider (CSP) auf, die Vorgabe zu beenden, dass Benutzer Passwörter mit bestimmten Zeichentypen setzen müssen. Auch die regelmäßige Änderung von Passwörtern, die häufig alle 60 oder 90 Tage verlangt wird, soll nicht mehr erforderlich sein.
Darüber hinaus wird CSPs geraten, auf wissensbasierte Authentifizierung oder Sicherheitsfragen bei der Auswahl von Passwörtern zu verzichten. Das ist natürlich nett, muss aber sicherlich auch in viele Köpfe rein. Die Passwortrotation ist vor vielen Jahren mal eine Empfehlung, allerdings gab es danach schon Untersuchungen, dass das Ganze nur wenig bringt. NIST gibt an, dass »Passwörter so komplex und geheim sein müssen, dass es für einen Angreifer unmöglich ist, den richtigen geheimen Wert zu erraten oder auf andere Weise herauszufinden«.
Weitere Empfehlungen sind:
Prüfer und CSPs MÜSSEN eine Mindestlänge von Passwörtern mit acht Zeichen verlangen und SOLLTEN eine Mindestlänge von 15 Zeichen verlangen.
CSPs sollten Passwörter mit maximal mindestens 64 Zeichen zulassen.
CSPs sollten die Verwendung von ASCII- und Unicode-Zeichen in Passwörtern zulassen.
- Xiaomi AISP beinhaltet dank Xiaomi HyperOS die Rechenleistung von CPU, GPU, NPU und ISP.
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wenn eine 2FA vorhanden ist, wähle ich ein möglichst einfaches Kennwort, das zur Not auch manuell schnell eingetippt ist, wie etwa “Vollkorn12”.
Warum ein blödsinnig-kompliziertes Kennwort verwenden, wenn eine Brute-Force-Attacke so ziemlich das Letzte ist, was einem blühen kann? Und gegen Phishing und Co. hilft auch das komplexeste Kennwort nicht weiter.
Ich halte mich dennoch an eine Mindestlänge von mindestens 14 inkl. Sonderzeichen. Ich habe mit unseren Mitarbeitern auch oft genug die Diskussion, dass sie sich lange Passwörter nicht merken können und wollen. BIs ich ihnen erkläre wie sie mit hilfe von Gedankenstützen sich das Passwort so bauen können, dass sie es sich auch merken können.
Nicht jeder Service unterstützt nach wie vor MFA.
So was wie Rübe-Zentrale-ausufern32 kann sich jeder mit ein bisschen Hirnschmalz merken
Wenn man dann noch Robert-Zacharias-Almann heisst und in der Bahnhofstr. 32 wohnt, kann man es sich noch einfacher merken. Im Ernst, genauso empfehle ich es in meinem Umfeld.
Anfangsbuchstaben der Vornamen+Nachname+PLZ/Hausnummer/
Aus Johann-Hinrich Hummel in 20095 Hamburg wird dann z. B.
Jolle-Himmel-Husum95
Ist es nicht sogar so, dass nicht nur nicht empfohlen wird, dass Passwörter nicht regelmäßig geändert werden müssen, sondern explizit darauf hingewiesen wird, dass dies sogar ein Sicherheitsrisiko ist?
Ich persönlich bin übrigens der Meinung, dass man ein Kennwort am besten nicht so komplex wählt, dass man jeden Buchstaben einzeln tippen muss und dabei gut beobachtet werden kann, sondern dass man ein Passwort wählt, was man blind so schnell eintippen kann, dass keiner sich das abschauen kann. So handhabe ich es derzeit. Mein Passwort hat 9 Zeichen und das tippe ich mit beiden Händen innerhalb von gefühlt 0,3 Sekunden ein. Selbst wenn Leute neben mir stehen, sehen die nicht, was ich tippe. Wohingegen die Leute, die total die komplexen Kennwörter haben, diese so langsam eintippen, dass man das genau sehen kann.
@Jemand
Das schnelle tippen bringt dir halt nur was, bei Leuten welche neben dir stehen. Dafür öffnest du für Bruteforce Methoden die vollen Möglichkeiten und 9 Zeichen.
Zusätzlich für jeden Service ein eigenes Passwort nutzen und MFA aktivieren, wenn es geht. Und einen Passwort Manager deines Vertrauens wählen.
Am Ende ist es eine Riskikoabwägung: Die Wahrscheinlichkeit dass jemand neben dir steht und dein Passwort „ausspioniert“ dürfte weitaus geringer sein, als dass ein Angriff „von außen“ stattfindet. Und da hast Du dann mit deiner Methode wieder das nachsehen. Falls Du für jemanden so wichtig bist, dass er extra bei dir vorbeikommt, würde er vermutlich sowieso eine Aufzeichnung (z.B. per Smartphone Kamera) deiner Tasteneingaben vornehmen. Damit wäre dann – zugegeben – auch das lange Passwort wieder hinfällig, da die Wiedergabegeschwindigkeit frei gewählt werden kann. Daher: MFA.
Einen Aspekt vernachlässigt das beibehalten von Kennwörtern gegenüber dem regelmäßigen Wechsel.
Leaks.
Zumindest meine Hauptzugänge, also E-Mail, Apple, Google, Microsoft, Amazon, bekommen einmal im Jahr eine Änderung. Mag übertrieben sein, aber mit Passwortmanagern ist das schnell gemacht und es fühlt sich sicherer an. Ein Leak bei einem so großen Dienst sollte bei aktueller Verschlüsselung, also hashed & salted, unmöglich sein. Aber auch den großen Diensten muss ich ja nicht unbeschränkt vertrauen.
Ansonsten ziehe ich bei manuellen Kennwörtern auch immer die langen den komplizierten vor. Lieber ein 20-stelliges zusammengesetztes Wort als ein 6-stelliger Buchstabensalat. Länge schlägt Komplexität.
Und all das wäre ohnehin obsolet, wenn Passwortmanager endlich mehr Verbreitung hätten.
Für die wichtigsten Konten habe ich das Kennwort nicht komplett im Passwordmanager gespeichert, sondern ich gebe bei der Anmeldung immer noch 4 Zeichen manuell ein. Ich bilde mir ein, damit auch etwas gegen einen Leak oder den Diebstahl meiner Daten im Passwordmanager zu tun. Meine Microsoft-Konten habe ich komplett auf kennwortlose Anmeldung umgestell. Dort komme ich nur mit einem Passkey rein.
Hallo Oliver, „Länge schlägt Komplexität.“ an der PC-Tastatur oder mit echten physischen Tasten kein Problem. Ich tue mich aber immer noch mit der eingabe an einer virtuellen Tastatur auf einem touchscreen schwer.
Da ist ein langes passwort ein echtes Hindernis und Quell von Fehleingaben, vor allem da es ja nur als „Sternchen“ zurückgemeldet wird.
Hatte mir auch mal überlegt ganze Gedichtzeilen als PW zu verwenden, bin dann aber gerade wegen der Touchscreeneingabe wieder weg davon.
Immerhin gehöre ich zu den Schülern die noch richtig Gedichte auswendig lernen mußten, da gäbe es genug vorlagen für lange Passwörter . Ist aber eben unpraktikabel.
Wo muss man denn noch Passwörter händisch eintippen? PwManager am Smartphone regelt doch.
Hier zum Beispiel am Firmen-iPhone: Vorgabe, alle 90 Tage zu wechseln, mindestens 12 Zeichen, Sonderzeichen, Ziffern, Groß/Klein inklusive. Wird gefühlt zweimal am Tag abgefragt und ein PW-Manager verstößt selbstverständlich gegen die Firmenrichtlinien. :-/
und gibt es auch strikte Vorgaben wie diese Passwörter auf den Servern gesichert werden, denn ansonsten kann es auch 1000 Zeichen lang sein und bringt nichts.
Klett Verlag hat für die Aktivierung von einem schulbuch ein Account mit mindestens 20 Zeichen verlangt, das fand ich sehr ungewöhnlich, und jetzt lass mich mal raten, die bastelbude speichert das doch sicherlich im klartext. xD
DSGVO Art. 32 „Sicherheit der Verarbeitung“, besonders Abs. 1
2FA sollte einfach überall der Standard werden, es gibt leider immer noch genügend Webseiten die das nicht anbieten.
Ich benutze Passwörter, die nichts mit erkennbaren Wörtern zu tun haben. Ich leite die Zeichenfolgen von der Tastatur ab. Also für den linken Finger: „aswa“ für rechts: „klkl“ für links: „1212“ ergibt zusammen aswaklkl1212.
Das merke ich mir nicht im Kopf sondern in den Fingern.
und wie machst du da für 50 verschiedene Webseiten oder meinst du dein Masterpasswort?
Wie machst Du das bei > 200 Konten und Diensten?
Passwordmanager
jup, das einzig Vernünftige!
„mummify margarine stunning batting semester unknotted“ – sowas generiert mir der Passwortmanager. Bis auf das Systempasswort muss ich mir die Passwörter ja nicht merken, wenn ich es aber trotzdem ausnahmsweise irgendwo eintippen müsste, geht das mit einer Passphrase schneller und einfacher als mit einem komplexen Passwort.
Alter Schwede, in einem Techblog, der schon hundertfach über das Thema schrieb, solche Kommentare… uff
>> CSPs sollten Passwörter mit maximal mindestens 64 Zeichen zulassen.
Bin ich eigentlich der Einzige, der diesen Satz nicht versteht? Soll 64 jetzt die maximale oder minimale Länge werden?
Das ist die minimale maximale Länge. Also man soll überall mindestens 64 Zeichen eingeben können. Manche Webseiten beschränken das ja immer noch auf z.B. maximal 32 Zeichen.
Wird Zeit, dass sich Passkey überall durchsetzt!