Neue Regeln für sichere Passwörter: Was Website-Betreiber und Webentwickler über die aktualisierten Empfehlungen zur Passwortsicherheit wissen sollten
Veröffentlicht am 02.09.2020 von DomainFactory
Ihr Passwort ist Ihre erste Verteidigungslinie gegen Angriffe auf Ihre Daten und spielt eine entscheidende Rolle beim Schutz Ihrer Dateien. Manchmal jedoch wird die Wahl eines sicheren Kennworts beim Erstellen eines Accounts zur Qual.Die Technische Universität Berlin zum Beispiel stellt folgende Sicherheitsanforderungen an Passwörter, mit denen sich Studierende auf ihrer Webseite einloggen:
- Das Passwort enthält 8 – 20 Zeichen
- Das Passwort besteht aus Zeichen der vier Zeichengruppen: Großbuchstaben A-Z, Kleinbuchstaben a-z, Ziffern 0-9 und Sonderzeichen !"#$%\'()*+,-./:;=>?
- Mindestens drei der vier Zeichengruppen (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) müssen im Passwort vertreten sein.
- Gruppen von mehr als zwei Zeichen, die auch in Ihrem Vornamen, Nachnamen oder Benutzernamen vorkommen, sind unzulässig.
- Es dürfen nicht mehr als zwei Zeichen in Folge auftreten.
- Das Passwort muss mindestens fünf verschiedene Zeichen enthalten.
- Keine Gruppe von drei oder mehr Zeichen darf sich im Passwort wiederholen.
- Gruppen von mehr als drei Zeichen, die der Anordnung des Alphabets oder der Tastatur entsprechen, sind zu vermeiden. Höchstens eine solche Gruppe ist zulässig.
Welches Ihrer Lieblingspasswörter erfüllt alle diese Anforderungen? Keines? Müssen sie auch gar nicht und können trotzdem sichere Passwörter sein.
Alte Regeln für sichere Passwörter nicht nutzerfreundlich
Regeln für Passwortsicherheit, wie wir sie seit langem kennen – mindestens 6 Zeichen bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen – gehen zurück auf das National Institute of Standards and Technology (NIST), eine für Standardisierungsprozesse zuständige Bundesbehörde der Vereinigten Staaten. 2003 formulierte es für US-Behörden Anforderungen an die Passwortsicherheit, an denen sich viele Institutionen, Unternehmen und Plattformen bis heute orientieren. Im Ergebnis führten diese Empfehlungen dazu, dass Monitore und Tastaturen gespickt waren mit Zettelchen, auf denen Passwörter notiert wurden, die sich niemand mehr merken konnte. Dass das die Sicherheit kein bisschen erhöht, gestand sich schließlich auch das NIST ein und vollführte 2017 eine radikale Kehrtwende zu mehr Nutzerfreundlichkeit.
Kennphrasen statt Passwörtern
Nach den neuen Richtlinien sollen US-Behörden die Ersteller von Accounts nicht mehr zu hochkomplexen Zeichenkonstruktionen zwingen, sondern ihnen die Eingabe von Phrasen erlauben, die leichter merkbar sind und vor allem eins: lang. Als Mindestlänge werden acht Zeichen empfohlen, wenn die Kennwörter von Menschen erstellt werden, und 6 Zeichen, wenn sie automatisiert generiert werden. Begrenzungen auf maximale Zeichenlängen sollen am besten ganz entfallen, damit es möglich wird, Mehrwortkonstruktionen oder ganze Merksätze einzugeben. Entfallen sollen außerdem Begrenzungen im Zeichensatz. Akzeptiert werden sollten alle druckbaren ASCII- und Unicode-Zeichen, auch Schriftzeichen anderer Zeichensysteme, Leerzeichen, mathematische Symbole und auch Emojis. US-Behörden müssen die Eingaben dann mit einer Blacklist abgleichen, die höchst unsichere, aber beliebte Kennwörter, wie 12345678, asdfghjk oder aaaaaaaa enthält, sowie Wörter eines Wortschatz-Wörterbuchs, denn das sind Zeichenfolgen, die von Cyberkriminellen als erstes ausprobiert werden.
Schluss mit dem Zwang zum regelmäßigen Passwortwechsel
Neu ist außerdem, dass das NIST davon abrät, regelmäßige Passwortwechsel zu verlangen, eine Praxis, die in vielen Unternehmen und Institutionen üblich ist. Stattdessen empfiehlt es, Nutzern ihre langen Passwörter zu lassen, solange es keine Anzeichen dafür gibt, dass sie gehackt wurden. Aufforderungen zum häufigen Passwortwechsel führen nur dazu, dass Nutzer sich ihre Kennwörter in Klarschrift an den Bildschirm heften oder – noch schlimmer – in einem Dokument auf dem Rechner abspeichern. Untersagt wird explizit die Einrichtung von Sicherheitsfragen, um Nutzern zu helfen, die ihr Passwort vergessen haben, da die richtigen Antworten auf diese Fragen bei einem Angriff meist mit in die Hände von Kriminellen geraten.
Gehackte Passwörter ausschließen
Ob E-Mail-Accounts und Passwörter bereits kompromittiert sind, lässt sich leicht mit kostenlosen Tools überprüfen. Der Identity Leak Checker des Hasso-Plattner-Instituts liefert beispielsweise eine detaillierte Tabelle, in welchen Identity Leaks eine angefragte E-Mail-Adresse auftaucht und ob über das Passwort hinaus auch andere persönliche Daten, wie Telefonnummer, Geburtsdatum oder Adresse, betroffen sind. Mit der Seite Pwned Passwords lässt sich gezielt nach kompromittierten Passwörtern suchen. Die Datenbank umfasst über eine halbe Milliarde Zugangsdaten aus bekannt gewordenen Datenpannen. Die Liste der kompromittierten Kennwörter lässt sich auch herunterladen und für den Blacklist-Check verwenden, denn eine weitere Forderung des NIST lautet: keine Passwörter zulassen, die bereits einem Daten-Leak zum Opfer gefallen sind.
Sicherheitsanforderungen an Website-Betreiber
Damit es erst gar nicht zu peinlichen Datenpannen kommt, sollten auch Betreiber von Webseiten die Anforderungen des NIST an die Übermittlung und Aufbewahrung von Passphrasen ernstnehmen. US-Behörden sind gehalten, Passworteingaben nur verschlüsselt über einen authentifizierten Kanal zu übertragen. Für Webapplikationen bedeutet das mindestens SSL-, besser TLS-Verschlüsselung. Außerdem muss für die Speicherung der Phrasen in einer Datenbank eine genormte Schlüsselableitungsfunktion wie PBKDF2 mit mindestens 10.000 Iterationen eingesetzt werden.
Zusammenfassende Tipps für sichere Passwörter
Die neuen Richtlinien für Passwortsicherheit lassen sich sehr knapp zusammenfassen: lang und möglichst originell. Deshalb ermuntern Sie die Nutzer von Webanwendungen beim Erstellen von Passwörtern vor allem zu Einfallsreichtum. Natürlich ist es weiterhin nicht ratsam, Bestandteile von Namen, Geburtsdaten, Titel von Büchern oder Songs oder Zeilen aus bekannten Gedichten zu wählen. Kindliche Versprecher, Erinnerungen an prägnante Lebensmomente oder eigene, möglichst dadaistische Wortschöpfungen eignen sich dagegen gut. Hat man weniger Spaß am Kreativsein, lassen sich auch einfache Sätze wie „Dieser Winter ist viel zu warm“ zur Passphrase aufwerten, indem beispielsweise einfach jeder letzte Buchstabe eines Wortes groß geschrieben wird und bestimmte Vokale mit Sonderzeichen ersetzt werden: „Di+s+RWint+RisTvi+LzUwarM“. Und wem doch gar nichts einfällt, dem sei ein Passwort-Manager wie KeePass empfohlen, der lange Zeichenfolgen nicht nur zufällig generieren kann, sondern auch das Merken der Passwörter übernimmt. Das ist vermutlich ohnehin die nutzerfreundlichste Variante, denn wer will schon die verschiedenen Passphrasen für alle seine Online-Accounts im Kopf behalten?
Erfahren Sie hier, wie Angreifer Passwörter hacken und wie Sie sich dagegen schützen können
0,08 €* / pro Monat im 1. Jahr
+73 weitere Domains