Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

In Pocket speichern vorlesen Druckansicht 746 Kommentare lesen
Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

(Bild: Christiaan Colen, CC BY-SA 2.0)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Viele der altbekannten Regeln für sichere Passwörter, die in den verganenen Jahren durch Admins und Sicherheits-Richtlinien propagiert wurden, erzeugen keine oder nur wenig zusätzliche Sicherheit. Das National Institute of Standards and Technology (NIST) in den USA hat deswegen gerade neue Regeln für Passwörter finalisiert. Viele der bekannten Empfehlungen für erhöhte Varianz in Passwörtern (Sonderzeichen, Groß- und Kleinschreibung, Zahlen) stammen aus älteren Versionen der NIST-Empfehlungen. Einer der Autoren, Bill Burr, hat gegenüber dem Wall Street Journal nun zu Protokoll gegeben, dass er diese Vorgaben heute bereut.

Mittlerweile wissen Sicherheitsforscher, dass viele dieser Regeln in der Praxis tatsächlich zu Passwörtern führen, die weniger sicher sind. Verstärkt wird das durch die frühere NIST-Empfehlung, Passwörter regelmäßig zu ändern – diese Vorgabe hat auch heise Security über Jahre hinweg immer wieder kontrovers diskutiert, denn sie ist in Security-Kreisen seit langem umstritten. Vor allem durch die milliardenfachen Passwort-Lecks der letzten Jahre haben Sicherheitsforscher viel darüber gelernt, welche Passwörter echte Nutzer in der Realität wählen und wie diese durch Passwort-Vorschriften beeinflusst werden. TL;DR: Viel zu viele dieser Passwörter sind trivial zu erraten, viele der aus den Passwörtern resultierenden Hashes lassen sich schnell knacken.

Eine der Konsequenzen daraus ist, dass die überarbeitete NIST-Richtlinie nun empfiehlt, Passwort-Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und diese nicht zu erlauben. Das kann man etwa mit Webdiensten wie Troy Hunts Pwned Passwords bewerkstelligen. Im Allgemeinen empfiehlt die NIST nun, lange Passphrasen zu verwenden. Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt.

Das kann man zum Beispiel dadurch erreichen, dass man einen einschlägigen Satz, den man sich leicht merken kann, durch ein Muster abwandelt, das nur einem selbst bekannt ist. Satz und Abwandlungs-Schema kann man sich relativ leicht merken, das Resultat wird aber in keiner Passwortliste auftauchen. Jedenfalls nicht, so lange das Passwort nicht in einem Passwortleck landet und im Internet veröffentlicht wird. Eben aus diesem Grund sollte man Passwörter auch ändern, wenn man erfährt, das sie kompromittiert wurden. Nur willkürlich nach einer gewissen Zeit ändern muss man sie in der Regel nicht. (fab)