Vergessen Sie Passwörter!
Neue Empfehlungen für den Umgang mit Passwörtern
Die Passwortpropheten sind von ihren Vorschriften abgerückt: Statt maximal komplizierter Konstruktionen aus Ziffern und Sonderzeichen, die regelmäßig zu ändern sind, fordern sie nun zum Verwenden von Passphrasen auf. Das ist leichter für Nutzer, mindestens genauso sicher und ein guter Anlass, die eigenen Strategien zu hinterfragen.
Die Wahl eines Passworts für einen Online-Dienst ist eine Herausforderung: Es muss Groß- und Kleinbuchstaben enthalten, Ziffern und am besten auch noch Sonderzeichen. Zudem sollte es möglichst lang sein – und natürlich darf man es nicht bereits andernorts eingesetzt haben, denn das ist ja bekanntlich fahrlässig. Für diese Situation mitverantwortlich ist das amerikanische National Institute of Standards and Technology (NIST), das anno 2003 in seiner Special Publication 800-63 im Appendix A die Anforderungen zum sicheren Umgang mit Passwörtern in US-Behörden in Stein gemeißelt hat. Allerdings haben sich das Dokument nicht nur Behörden zu Herzen genommen, es diente vielen zur Inspiration, wodurch es heute eigentlich jeden betrifft.
Mit diesem Regelwust ist jetzt Schluss – vor wenigen Monaten hat sich das NIST von den meisten der nervigen Regeln verabschiedet: Die US-Behörden sollen künftig mehr Freiheiten bei der Wahl des Kennworts lassen. Das soll für mehr Komfort bei den Nutzern und somit auch für mehr Sicherheit sorgen. Denn „wenn etwas nicht nutzerfreundlich ist, beginnen die User zu tricksen“, erklärte der an der Entstehung des überarbeiteten Dokuments beteiligte Forscher Jim Fenton im Rahmen eines Vortrags zu den Änderungen. Laut der neuen Fassung können Nutzer eine nahezu beliebige Zeichenfolge als Passwort einsetzen, solange sie mindestens acht Zeichen lang ist. Laut NIST sollte die Eingabe von 64 oder mehr Zeichen erlaubt sein. Die Nutzer werden so dazu ermuntert, statt vorhersehbarer Zeichen möglichst lange Wortfolgen, also Passphrasen zu nutzen. Erlaubt sollen alle druckbaren ASCII-Zeichen und sogar Unicode-Zeichen wie Emojis sein. Das Institut setzt den neuen Freiheiten aber auch Grenzen: Damit es sich Nutzer nicht mit leicht erratbare Zeichenfolgen wie 12345678 zu leicht machen, müssen Behörden das gewünschte Passwort mit einer Blacklist abgleichen.
Auf der Blacklist sollen Zeichenfolgen stehen, die Cyber-Ganoven als Erstes ausprobieren: schlechte Kennwörter wie aaaaaaaa oder 1234abcd, Wörter aus dem Wörterbuch und Passwörter, die bekanntermaßen häufig zum Einsatz kommen. Auch Kennwörter, die nach Cyber-Angriffen auf Yahoo, MySpace, Adobe & Co. im Darknet gehandelt werden, können sich auf der Liste befinden. Wie umfangreich die Blacklist sein muss und die genaue Zusammensetzung schreibt das NIST nicht vor. Davon, den Nutzern einen regelmäßigen Passwortwechsel aufs Auge zu drücken, rät die NIST ab. Diese Unsitte findet man vor allem in Unternehmen. Zum Wechsel sollten Nutzer nur gezwungen werden, wenn es Anzeichen dafür gibt, dass Passwörter kompromittiert wurden.
Keine Fragen
Erstmals bezieht das Institut auch Stellung zu den Passwort-Vergessen-Fragen, die vielerorts zum Einsatz kommen. Erinnert sich der Nutzer nicht mehr an sein Kennwort, kann er es oft durch die Beantwortung einer oder mehrerer Sicherheitsfragen zurücksetzen – etwa „Wie lautet der neburtsname Ihrer Mutter?“ oder „Welche ist Deine Lieblingsfarbe?“. Das Problem daran ist, dass Angreifer bei einem erfolgreichen Angriff auf einen Dienst nicht nur die Mail-Adressen und Passwörter oder Passwort-Hashes abgreifen, sondern auch die meist im Klartext gespeicherten Antworten auf die Fragen.
Mit diesen Antworten können die Angreifer auch Accounts bei anderen Diensten knacken, wenn ein betroffener Nutzer dort ebenfalls registriert ist und die gleichen Sicherheitsfragen gewählt hat. Deshalb untersagt die NIST den Behörden konsequenterweise den Einsatz solcher Fragen. Obendrein sollen Nutzer keine Hinweise auf ihr Passwort mehr hinterlegen dürfen, da diese Eindringlingen in die Hände spielen. Damit die Nutzer ihre langen Passphrasen auch zielsicher eintippen können, sollen Betreiber eine Option anbieten, welche die bisher eingetippten Zeichen im Klartext statt als Sternchen darstellt.
Handlungsempfehlungen!
Bis 08/15-Webseiten und andere IT-Dienstleister die Handlungsanweisungen des NIST adoptiert haben, dürfte noch Zeit vergehen. Vieles davon können Sie aber schon heute umsetzen: Nutzen Sie Passphrasen, also laaaaange Passwörter, wo immer das möglich ist. Die sind potenziell leichter zu merken als Zeichenfolgen mit Sonderzeichen & Co. Die Länge ist der effektivste Stellhebel, um die Knackdauer zu erhöhen. Je länger die Passphrase, desto länger kaut ein Angreifer darauf herum und beißt sich schließlich die Zähne daran aus. Für Online-Dienste, bei denen die Angreifer in aller Regel nur eine begrenzte Anzahl Versuche haben, reichen hingegen acht Zeichen aus.