Immer Stress mit dem Passwort: Was sind die aktuellen Empfehlungen für ein sicheres Passwort?? Bild: MEV-Verlag, Germany

Unter IT-Fachleuten gibt es schon seit einiger Zeit abweichende Meinungen darüber, wie Passwörter gestaltet sein müssen, damit sie tatsächlich auch sicher sind. Einige der bislang üblichen Empfehlungen gelten mittlerweile als überholt und auch Vorgaben wie das regelmäßige Ändern der Passwörter werden jetzt in Frage gestellt. Was ist in Sachen Password jetzt state of the art?

Problem bisheriger Passwort-Vorgaben: Schwer zu merken

Dummerweise sind Passwörter nach diesem Muster wie z.B. Dnh&mT6o? sehr schwer zu merken, was zudem durch eine zweite Empfehlung nochmals erschwert wurde, denn die Passwörter sollten in relativ kurzen Zeitabständen gewechselt werden.

Viele Unternehmen schrieben deshalb die Nutzung solcher komplexen Passwörter vor und erzwangen alle sechs Monate, mitunter auch öfter einen Passwort-Wechsel. Dies führte allerdings häufig dazu, dass die Passwort-Ungetüme vergessen wurden, und die Administratoren daher oftmals Konten zurücksetzen und die Anwender viel Zeit mit fehlgeschlagenen Log-Ins und der Generierung neuer Passwörter verbringen mussten.

Passwort: Empfehlungen gelten als überholt

Zu den Erfindern dieser Passwort-Grundregeln gehört Bill Burr, der vor gut 14 Jahren für die US-Behörde NIS (National Institute of Standards) ein entsprechendes Dokument mit den Empfehlungen erarbeitet hatte, das wiederum als Grundlage für viele weitere Sicherheitshinweise diente.

Doch mittlerweile bereut der Experte diese Vorgaben, wie er jetzt in einem Interview mit dem Wall Street Journal eingestand, denn die Erfahrungen der letzten Jahre haben gezeigt, dass diese Regeln die Passwortsicherheit gar nicht so positiv beeinflussten wie gedacht, sondern eher das Gegenteil bewirkten.

Passwort-Lecks bieten neue Informationen

Denn durch zu viele Vorgaben für die Passwortgestaltung können auch die scheinbar komplexen Passwörter relativ einfach erraten werden. Zu dieser Erkenntnis gelangten die Sicherheitsexperten durch die Analyse der Unmengen von real genutzten Passwörtern, die in der Folge von spektakulären Passwort-Hacks öffentlich bekannt wurden, bei denen die Angreifer Abermillionen von Zugangsdaten erbeutet hatten.

Neuauflage der Sicherheitsempfehlungen

Basierend auf diesen Erkenntnissen hat das NIS daher jetzt einen neuen Leitfaden für die sichere Gestaltung von Passwörtern herausgegeben. Eine der wesentlichen Änderungen dabei ist:

Es geht den Experten jetzt weniger um Komplexität, sondern mehr um die Länge der Passwörter.

  • Je länger ein Passwort, desto besser ist der Schutz gegen die sogenannten Brute-Force-Angriffe, zumindest wenn es sich nicht um triviale Wörter handelt, die so auch in Wörterbüchern zu finden sind.
  • Noch besseren Schutz bieten sehr lange Passphrasen, die aus ganzen Sätze bestehen können.
  • Das NIS empfiehlt daher, die maximal mögliche Länge von Passwörtern auf 64 Zeichen zu erhöhen und auch Leerzeichen zuzulassen, damit solche Sätze verwendet werden können.

Wurde das Passwort bereits gehackt?

Eine regelmäßige Änderung der Passwörter ist nach Ansicht der Experten dagegen nicht mehr notwendig.

  • Allerdings sollten Passwörter, die durch frühere Angriffe bereits in Umlauf gekommen sind, in jedem Fall unverzüglich ersetzt werden. Ob Passwörter bereits bekannt wurden, können Sie über Webdienste wie Pwned Passwords überprüfen.
  • Auch bei anderen Informationsangeboten wie dem Identity Leak Checker  können Sie überprüfen, ob von Ihnen genutzte Online-Konten bereits gehackt wurden und damit eventuell auch Passwörter ausgespäht wurden.

Nach wie vor gilt aber die Empfehlung, dass Sie Passwörter niemals mehrfach verwenden sollten, denn hierbei ist das Risiko, dass bei einem erfolgreichen Angriff auch die anderen mit diesem Passwort geschützten Dienste bzw. Zugänge kompromittiert werden können, viel zu groß.

Weitere News zum Thema:

Passwortsicherheit - was ist zu beachten?

Datenschutzpflichten für Mitarbeiter

WannaCry

Hintergrund:

Passwortwechsel

Die britische Communications Electronics Security Group (CESG) bezweifelt mittlerweile , dass der regelmäßige Wechsel von Passwörtern in der Praxis per se zu mehr Sicherheit führt. Das Gegenteil kann sogar der Fall sein. Das Sicherheitsrisiko kann steigen.

Schlagworte zum Thema:  Datenschutz-Management, Datenschutz, IT-Sicherheit, PC-Sicherheit

Aktuell
Meistgelesen