Passwort-Sicherheit – oder täglich grüßt das Murmeltier

Bild von Gino Crescoli auf Pixabay

Gerade haben wir das neue Jahr begrüßt, da wird das jährlich wiederkehrende Zeremoniell zelebriert: Was war das meistgenutzte Passwort des vergangenen Jahres? Egal, ob der Sieger „12345“, „password“ oder „qwertz“ heißt – finden sie hier noch einmal die wichtigsten Regeln für sichere Passwörter.

Die Irrtümer

Wenn es um die Regeln für sichere Passwörter geht, richten sich die meisten Administratoren nach den Empfehlungen des NIST von 2004 [NIST04]. Die wichtigsten Forderungen dabei sind:

  • Komplexe Passwörter durch Nutzung von Ziffern und Sonderzeichen
  • Häufiges Ändern der Passwörter

Bei einem Brute-Force-Angriff (also einem Ausprobieren aller Kombinationsmöglichkeiten) spielt die Komplexität der Passwörter nur eine geringe Rolle. Es ist insbesondere die Länge der Passwörter, die maßgeblich die Angriffe erschweren. Für einen Vergleich von Komplexität und Passwortlänge empfehle ich einen Blick auf [1PW].

Komplexe Passwörter erschweren die Eingabe der Zeichen, insbesondere bei der Nutzung von kleinen Mobilgeräten. Zudem wird es für den Nutzer schwieriger sich an die Passwörter zu erinnern.

Ebenso wie die Komplexität erhöht auch die Forderung nach regelmäßigem Ändern der Passwörter nicht die Sicherheit bei Brute-Force-Angriffen. Die Folge ist häufig das Nutzen von „Standard“-Passwörtern mit angehängtem „!“ oder einer laufenden Nummer (gerne die Nummer des Monats) und das Notieren der Zeichenfolgen auf diversen Zetteln.

Regeln für sichere Passwörter

Lange Passwörter. Passwörter sollten mindestens zwanzig Zeichen lang sein – für Administratoren und Serversysteme sind vierzig Zeichen empfehlenswert. Verwenden sie lesbare Wortketten, die keinen sinnvollen Satz ergeben und nicht Gedichten oder Liedtexten entnommen sind.

Verschiedene Passwörter. Nutzen sie für jeden Dienstleister ein anderes Passwort. Damit verhindern sie, dass ein abgegriffenes Passwort den Zugriff auf verschiedene Dienste ermöglicht.

Passwort-Manager. Verwenden sie Passwort-Manager, um ihre Passwörter sicher zu verwalten. Es gibt gute Lösungen, die zwischen Desktop-PC und Mobilgerät synchronisieren und sich in dem Browser integrieren.

Multifaktor-Authentisierung. Nutzen sie angebotene Multifaktor- oder Zweifaktor-Authentisierung (MFA bzw. 2FA). Eine Multifaktor-Authentisierung ermöglicht die mehrstufige (z.B. Passwort und PIN) und kombinierbare (z.B. Besitz eines Gerätes und PIN) Prüfung verschiedener Faktoren, um eine sichere Authentisierung durch Dienstleister gewährleisten zu können.  

Resümee

Es gibt nicht das sichere Passwort. Bei einem Brute-Force-Angriff gilt es das Herausfinden des richtigen Passworts so lange hinauszuzögern, bis der Vorgang für den Angreifer unwirtschaftlich ist. Heutige Standard-PCs sind mit entsprechender Software in der Lage komplexe Passwörter von acht Zeichen Länge in wenigen Stunden zu berechnen – verfügbare Dienstleistungen aus der Cloud schaffen das in Sekunden.

Sollte dennoch ein Passwort durch einen Brute-Force-Angriff erraten oder durch Social-Engineering abgegriffen werden, dann ist es elementar, dass die Situation schnellstmöglich erkannt wird, die betroffenen Zugänge gesperrt und die entsprechenden Nutzer informiert werden.


Referenzen
Titelbild von Gino Crescoli auf Pixabay
[1PW] „Zusammenhang von Brute-Force-Attacken und Passwortlängen“, 1PW, abgerufen 7.1.2021
[NIST04] „NIST Special Publication 800-63. Appendix A“, NIST, abgerufen 7.1.2021
[NIST17] „Digital Identity Guidelines, Authentication and Lifecycle Management, Appendix A“, NIST, abgerufen 20.1.2021
„Zwei-Faktor-Authentisierung für höhere Sicherheit“, BSI, abgerufen 7.1.2021
„Passwörter knacken mit THC Hydra und John the Ripper“, Security Insider“, abgerufen 8.1.2021

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.