XtravaganT - Fotolia

Best Practices für mehr Sicherheit bei Passwörtern

Das NIST erstellt die Passwort-Richtlinien für die US-Regierung. Einige der Empfehlungen und Best Practices sind auch für Unternehmen interessant.

Das National Institute for Standards and Technology (NIST) in den USA erstellt derzeit neue Richtlinien für Passwörter, die von der US-Regierung übernommen werden. Eine erste Preview der Digital Authentication Guideline wurde bereits auf Github und der NIST-Webseite veröffentlicht. Was sind die wichtigsten Änderungen in den Empfehlungen der Organisation? Sollen Unternehmen sie übernehmen?

Viele Unternehmen und Online-Dienste suchen nach Möglichkeiten, das viel geschmähte Passwort zu ersetzen. So steigen einige Finanzdienstleister auf die biometrische Authentifizierung ihrer Kunden um. Auch Google bietet die Möglichkeit einer Zwei-Faktor-Authentifizierung, bei der ein zusätzlicher Überprüfungscode auf das Smartphone des Anwenders geschickt wird.

Nichtsdestotrotz gibt es noch keine universell akzeptierte Methode, die das Passwort ersetzen könnte. Aus diesem Grund verwenden es auch weiterhin viele Systeme, obwohl die Schwächen sowohl bei der Sicherheit als auch im praktischen Einsatz allgemein bekannt sind. Manche verwenden Passwörter aber nur noch als Notnagel, wenn zum Beispiel der Fingerabdruck eines Nutzers oder seine Stimme nicht korrekt identifiziert werden konnten. Weil uns Passwörter also noch länger erhalten bleiben werden, ist es begrüßenswert, dass sich das NIST mit der Forschung nach einer robusteren Authentifizierung per Passwort und einer erhöhten Benutzerfreundlichkeit beschäftigt.

Digital Authentication Guideline

Das NIST ist unter anderem der Frage nachgegangen, wie Passwörter erstellt und eingesetzt werden. Das Ziel sind dabei effektivere Empfehlungen und Richtlinien für Passwörter. Die Special Publication 800-63-3: Digital Authentication Guideline wird immer noch überarbeitet. Die jeweils aktuelle Version ist bei Github zu finden. Sie enthält aber bereits einige wichtige Vorschläge zu Maßnahmen, die bislang weithin als Best Practices akzeptiert sind, die aber nicht alle wirklich die Sicherheit erhöhen.

Einer der wichtigsten Grundsätze bei den NIST-Empfehlungen zu Passwörtern ist, die Richtlinien benutzerfreundlicher zu machen. Aufwändige Passwortregeln werden von vielen Nutzern und dem Support-Desk in der Praxis häufig umgangen oder gleich ignoriert, so dass ihre Sicherheitsvorteile nicht greifen. Viele Anwender verwenden Passwörter außerdem an mehreren Stellen. So kann selbst ein im Beruf eingesetztes acht Zeichen langes, komplexes Passwort verwundbar sein, wenn es zusätzlich auch als Passwort im Online-Banking und in sozialen Netzwerken verwenden wird.

Es überrascht keineswegs, dass eine der Empfehlungen des Institutes ist, dass PINs mindestens sechs Zeichen und Passwörter mindestens acht Zeichen lang sein sollten. Für besonders sensible Dokumente empfiehlt das NIST sogar Passwörter von bis zu 64 Zeichen Länge. Es ist jedoch nicht gerade einfach, sich ein Passwort zu merken, dass länger als acht Zeichen ist. Die neuen Richtlinien erlauben aber den Einsatz aller ASCII- sowie Unicode-Zeichen sogar inklusive der Emojis.

Dadurch soll sowohl die Benutzerfreundlichkeit als auch die Varianz der Passwörter erhöht werden. Wenn man dies mit der Empfehlung kombiniert, lieber längere Phrasen als schwierig zu merkende Passwörter zu verwenden, ergeben sich daraus viele neue Möglichkeiten für lange, komplexe und leicht zu merkende Passwörter. So werden auch Kennwörter empfohlen, bei denen nur manche Zeichen ausgetauscht wurden, wie zum Beispiel “pA55w0rd”. Solche Passwörter wirken kompliziert, sind es aber nicht wirklich. Wobei es auch hier sehr populäre Kombinationen gibt, die entsprechend leicht zu knacken sind.

Passwörter sollten außerdem nicht mehr nach einer bestimmten Zeit automatisch erneuert werden müssen. Außer es gibt einen triftigen Grund dafür. Beispiele dafür sind, wenn ein Passwort vergessen wurde oder wenn vermutet wird, dass sie einem Phishing-Angriff zum Opfer gefallen sind, gestohlen wurden oder wenn ein Brute-Force-Angriff erwartet wird. Das bedeutet, dass Monitoring-Maßnahmen getroffen werden sollten, um Gefährdungen zu entdecken. LinkedIn wusste über mehrere Jahre nicht, dass die Passwortdatenbank geklaut worden war, so dass die Nutzer nicht gezwungen wurden, ihre Passwörter zu ändern. Wenn sie ihre Passwörter jedoch alle paar Monate geändert hätten, wäre der Datendiebstahl aus dem Jahr 2012 schnell wertlos für die Angreifer geworden.

Passwörter sicher speichern

Weitere Ratschläge beschäftigen sich mit der Frage, wie die Passwörter der Anwender sicher aufbewahrt werden können. Alle Passwörter sollten gehashed und mit einer zufälligen Zeichenfolge erweitert (salted) werden, wenn sie gespeichert werden. Dies erschwert es Hackern erheblich, Passwörter entweder individuell oder in größeren Paketen effektiv zu knacken. Systeme sollten neue Passwörter zudem gegen Wortlisten mit bekannt schlechten Beispielen vergleichen und gegebenenfalls ausschließen. Administratoren sollten aber sicherstellen, dass ihre Wortliste den häufigsten Eingaben der jeweiligen Nutzer entspricht. Die eigene Liste muss also nicht mit den weltweit einhundert am häufigsten verwendeten Passwörtern übereinstimmen. Es wird jedoch empfohlen, dass die Sperrwortliste mindestens einen Umfang von 100.000 Einträgen haben sollte.

Auch wenn einige dieser Richtlinien lange überfällig wirken, ist die Empfehlung jedoch umstritten, wenn es um die so genannte Knowledge-based Authentifizierung (KBA), um Passworthinweise und SMS-Codes geht. KBAs wie „In welcher Stadt wurden Sie geboren?“ und Passworthinweise reduzieren die Kosten und den Aufwand erheblich, wenn es um das Zurücksetzen von Passwörtern geht. Sie sorgen aber nur für wenig zusätzliche Sicherheit, wie der Datendiebstahl bei Adobe im Jahr 2013 zeigte. Außerdem lassen sich die Antworten auf KBAs oft relativ leicht im Internet finden. Auch Einmal-Passwörter (OTP), die per SMS an Handys geschickt werden, sind aufgrund der relativ leichten Übertragbarkeit von Telefonnummern nach Ansicht des NIST nicht sicher. Dazu kommen Angriffe wie der SS7-Hack gegen Mobilfunknetzwerke und Malware, die Textnachrichten umleitet.

Jede getroffene Sicherheitsmaßnahme muss aufgrund ihrer tatsächlichen Nutzung in der Praxis kontinuierlich überprüft und angepasst werden, um gegen sich ändernde Angriffsmethoden und die zunehmende Rechenleistung bestehen zu können. Das Ziel des Institutes ist, die Erstellung und Speicherung von Passwörtern zu erleichtern und dabei alle unnötigen Komplexitäten zu beseitigen. SP 800-63-3 wird zu einem späteren Zeitpunkt für die gesamte US-Regierung verpflichtend werden.

Unternehmen sollten sich diese Richtlinien zumindest einmal näher ansehen. Einer der Gründe dafür ist, dass sie in der öffentlichen Meinung zumindest in den Vereinigten Staaten bald als Best Practice gelten werden. Die Länge von Passwörtern und Vorgaben zu ihrer Komplexität lassen sich relativ leicht in den meisten Programmen oder durch Gruppenrichtlinien ändern. Maßnahmen wie die Abschaffung von SMS-Nachrichten bei der Zwei-Faktor-Authentifizierung sind jedoch nicht so leicht durchzuführen und auch nicht so günstig. Administratoren sollten zudem neue Möglichkeiten anbieten, um einen Account wiederherzustellen, wenn sie in Zukunft auf Hinweise und KBAs verzichten wollen. Es gibt derzeit keinen anderen offensichtlichen Ersatz als Wiederherstellungs-Mails, die allerdings auch unsicher sind, wenn sie nicht korrekt implementiert werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Passwortregeln auf den Prüfstand stellen

Windows 10: Hello for Business ersetzt Passwörter

Passwörter: Der größte Risikofaktor in der IT-Sicherheit

Microsoft: Das Sicherheitsrisiko Passwort in den Griff bekommen

Artikel wurde zuletzt im April 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close