Passwortsicherheit - Was ist zu beachten?

04. Februar 2020, secriso Consulting

​

Noch immer sind sich Nutzer unschlüssig: muss das Passwort nur ausreichend komplex sein und darf es nicht in einem Wörterbuch auffindbar sein? Ist es dann sicher genug, oder sind noch andere Merkmale ausschlaggebend? Wir beschäftigen uns in diesem Artikel mit demThema.

​

​

Lange galt es als sicher, wenn ein Passwort ausreichend komplex gewählt wurde, dh. mit Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen kombiniert und dazu noch ein 90 tägiger Wechselzyklus. Als Leitfaden existierte dazu die NIST Special Publication zur Passwortsicherheit aus dem Jahr 2003 vom National Institute of Standards and Technology als ultimative Vorgabe.

​

Das hat sich in den letzten Jahren jedoch geändert.

​

Schon vor über 2 Jahren revidierte der damalige Erfinder dieser Regelungen, Bill Burr, seine eigenen damals festgelegten Empfehlungen. Auch das NIST hat bereits im Juni 2017 eine entsprechende neue Empfehlung herausgegeben, in dieser sind keine Vorgaben mehr zu Sonderzeichen oder Ähnlichem zu finden. Das ist jedoch bisher bei den wenigsten Nutzern angekommen.

​

Doch was ist so falsch an den damaligen Empfehlungen?

​

Bill Burr meint dazu, dass Passwörter dieser Art leicht berechenbar seien, da die Benutzer wenig einfallsreich damit umgehen und somit Sonderzeichen oder Ähnliches kein Garant für ein sicheres Passwort sind. Solche Passwörter gleichen häufig einem Muster und sind so für Hacker leicht reproduzierbar, als Paradebeispiel ist hier das Passwort „Pa$$w0rd“ zu nennen. Hinzu kommt die 90-Tage-Regelung, bei denen User nur minimale Änderungen vornehmen, die ebenfalls leicht zu knacken sind, wie zB das Hinzufügen einer Zahl (in der Praxis meist die Zahl 1, welche hinter dem Wort angehängt wird). Somit wurden die damals festgelegten Empfehlungen zwar oftmals befolgt, sicher sind die meisten Passwörter hingegen trotzdem nicht.

​

Nachdem genügend statistisches Material zu den Passwortgewohnheiten der Benutzer gesammelt wurde, konnte nun festgestellt werden, dass die meisten Passwörter nicht sicher genug gewählt werden und zudem die Usability durch die Komplexität leide. Daraus erfolgte eine neue NIST-Empfehlung. Diese richtet den Fokus nunmehr darauf, dass die Länge der Passwörter ausschlaggebend für die Sicherheit ist, da Berechnungen dadurch um ein Vielfaches länger dauern.

 

Als Beispiel kann Folgendes angeführt werden: Unter der Annahme, dass ein Angreifer 100 Milliarden Passwörter pro Sekunde prüfen kann, dauert ein Brute-Force-Angriff auf ein 8-stelliges Passwort über dem Alphabet aller 95 ASCII-Zeichen nicht mehr als 19 Stunden. Wird hingegen die Komplexität verringert, d.h. es werden nur Kleinbuchstaben verwendet aber das Passwort wird auf 15 Zeichen verlängert, erhöht sich die Zeit auf 500 Jahre. Wenn das kein Argument dafür ist, seine Passwörter länger zu gestalten…?

​

Die Empfehlung geht nun alsow weg von den hochgradig komplexen Passwörtern mit Sonderzeichen und Ziffern, hin zu längeren Phrasen und zusammenhängenden Wörtern, die jedoch nicht unbedingt sinngemäß zusammenpassen müssen.

​

Die Praxis zeigt:  Das für den Anwender vielleicht als sicher erscheinende Passwort "Pa$$w0rd" wurde bereits in 7.979 Data Breaches vermerkt. Im Gegensatz dazu wurde das Passwort "datenautoblaumann" noch nie als kompromittiert veröffentlicht (Stand 05.02.2020, https://haveibeenpwned.com/Passwords ).

​

​

Wer sich näher in das Thema einlesen will, dem stellen wir hiermit auch gerne den Link zur NIST-Empfehlung zur Verfügung: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf