Passwörter müssen stets lang (mindestens 8 Zeichen) und komplex (Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen) sein. Dazu bitte ein Wechselintervall von 90 Tagen und für jede Anmeldung ein anderes Passwort. Steht so in den meisten Richtlinien, Dienstanweisungen und Betriebsvereinbarungen dieser Welt.
Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) beschreibt diese Vorgaben beispielsweise in den Maßnahmen M 2.11 (Regelungen des Passwortgebrauchs) oder auch M 4.48 (Passwortschutz unter Windows) des IT-Grundschutzkatalogs. Und in vielen Fällen gilt der BSI IT-Grundschutzkatalog als das Maß aller Dinge bei Auditoren und Prüfern.
Passwort-Mythen
Doch werfen wir mal einen Blick auf die Details dieser Vorgaben und deren Sinnhaftigkeit. Klar ist, triviale Passwörter wie “123456”, “QWERTZ” oder “passwort” sollten sich ebenso ausschließen wie die Namen der Familienangehörigen oder Haustiere. Diese sind dank Google und der aktiven Unterstützung durch die stets mißverständlichen Privatsphäre-Einstellungen sozialer Netzwerke dann doch zu leicht herauszufinden.
Anders sieht es jedoch schon bei den Empfehlungen des BSI bei der zu wählenden Passwort-Länge aus. Das BSI empfiehlt 8 Stellen oder mehr, nur in begrenzten Ausnahmefällen 6 Stellen. In der Maßnahme 4.48 ist sogar von 14 Stellen und mehr für Verwaltungsaccounts die Rede.
Haben Sie sich schon mal gefragt, wieso Banken für die Absicherung von EC- und Kreditkarten nur auf 4 Zahlen PIN setzen? Machen diese denn kein Risikomanagement? Na klar machen sie das, jeden Tag und das sogar sehr erfolgreich. Dreimalige Falscheingabe und die Karte ist gesperrt, der Missbrauch ausgeschlossen. Schutzziel erreicht!
Also wieso dann bei einem solchen Bedrohungsszenario stur auf ein Passwort unter den eingangs genannten Regelungen bestehen? Sinnfrei, oder? Drei oder einige mehr Fehlversuche und dann ist Schluss. Übertragen auf den mit einer solchen Sperre ausgestatteten Benutzeraccount: Mehrmalige Falschanmeldung und der Benutzeraccount ist gesperrt und / oder wird erst nach einiger Verzögerung wieder zur erneuten Anmeldung freigegeben. Der Benutzer merkt es (sofern er die Sperrung nicht selbst verursacht hat) beim nächsten Anmelden. Die IT erhält über das Systemprotokoll ebenfalls einen Hinweis über diesen “Versuch”, kann prüfen und angemessen reagieren. Schutzziel erreicht! Dies funktioniert zumindest bei Accounts, die mit einer solchen Sperre und / oder Verzögerung ausgestattet werden können. In der Praxis würde sich auch eine Kombination anbieten (nach 3 Fehlversuchen Verzögerung, nach weiteren x Fehlversuchen Sperrung), dies wäre im Einzelfall auszuprobieren. Für Offline-Angriffe (beispielsweise Dokumenten-Passwörter) müssen selbstverständlich gehärtete Passwörter mit entsprechender Länge und Komplexität gewählt werden.
Und da haben wir auch schon das nächste Stichwort: Wie sieht es mit dem Thema Passwort-Komplexität aus? Nach der Länge eines Passworts scheint die Komplexität den meisten Schutz zu bieten, glaubt man den Verfechtern dieser Theorie. Generell steigt der Aufwand zum Erraten (oder Knacken) eines Passworts mit der Vergrößerung des Suchraums. Daher werden neben den 52 Zeichen des Alphabets (groß- und kleingeschrieben) die zehn Ziffern 0 bis 9 sowie die 22 üblichen Sonderzeichen hinzugenommen. Schwenken wir kurz in die Mathematik und schauen, wieviele Varianten sich im Vergleich ergeben:
- 2,5 * 1015 mögliche Varianten für ein Passwort mit 8 Stellen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
- 2,8 * 1015 mögliche Varianten für ein Passwort mit 9 Stellen und nur mit Buchstaben
Auf einen Blick ist zu erkennen, der Suchraum wird mit einer Stelle mehr viel höher als durch die Beibehaltung der Länge und dem Hinzufügen einer Komplexität. Noch Fragen?
Ok, aber der regelmäßige Passwort-Wechsel, das ist sicher, das müssen wir so machen! Warum? [Anmerkung des Autors: “Eine meiner Lieblingsfragen!”] Wenn sich die Passwort-Strategie in meiner Organisation an der Bedrohungslage und den möglichen Angriffsszenarien ausrichtet, gibt es wenige Anlässe, zu denen ein Passwort zu wechseln ist:
- Passwort wurde ausgespäht
- Passwort wurde unzulässigerweise an eine Kollegin oder einen Kollegen weitergegeben
- Bei der Erstkonfiguration, also dem Ändern voreingestellter Passwörter
Salopp: Besteht der Verdacht, ein Passwort wurde kompromittiert, dann wird es gewechselt. Doch die Praxis sieht anders aus, Wechselintervalle von alle 90–120 Tage sind die Regel. Wie reagiert der Anwender? Genervt. Und das zu Recht. Lesen Sie gerne mehr zum Thema (externer Link Ars Technica 2016).
Dann brauchen wir aber unbedingt die Vermeidung von ein- und demselben Passwort für mehrere Anmeldungen! Warum? 🙂 Müssten dann nicht Vorgehensweisen wie das Single-Sign-on (M 4.498 BSI) von vornherein aus Schutzgründen abgelehnt werden? Auch hier gilt es erneut, differenzierter vorzugehen. Bei internen Anmeldeverfahren mit entsprechenden Schutzmöglichkeiten (siehe Passwort-Komplexität) gibt es keinen nachvollziehbaren Grund für unterschiedliche Passwörter. Hier macht beispielsweise Single-Sign-on auch Sinn. Für Anmeldeverfahren außer Haus wie beispielsweise Cloud-Services und Online-Shops sollte jedoch nicht das “interne” Passwort zum Einsatz kommen. Dafür empfiehlt sich in der Tat die Nutzung anderer Passwörter mit entsprechenden Vorschriften in Bezug auf Länge und Wechsel. Eine Faustregel für externe Passwörter kann lauten “Jeder Betreiber / Anbieter erhält ein eigenes Passwort”.
2FA — Zwei-Faktor-Authentifizierung oder auch Multi-Faktor-Authentifizierung
Immer öfter findet sich in der praktischen Anwendung die 2FA zur weiteren Absicherung in Verbindung mit den Klassikern Nutzername und Passwort. Gängige Möglichkeiten (nicht vollständig): zeitbasierter Code (Software- oder Hardware-Tokens), Chipkarten, Transponder, zusätzliche Einmal-Passwörter oder biometrische Zugangsdaten (Fingerabdruck, FaceID, Augenscanner etc.).
Passwort-Richtlinien in der Praxis
Sie nerven ungemein! Da die wenigsten Richtlinien sich mit den Sachverhalten der Angriffsszenarien und Bedrohungen auseinandersetzen, wird hier meist mit “Schema F” gearbeitet. Haben wir ja auch schon immer so gemacht. Hat sich ja bewährt. Fragen Sie mal Ihre Anwender! Die haben über Jahre ihre Mittel und Wege gefunden, um mit dem so bequemen Thema nach “Schema F” umzugehen. Nämlich ihr eigenes “Schema F”. Passwörter werden aufgeschrieben, munter getauscht, enthalten numerische Sequenzen zum Hochzählen zur Umgehung der Generationenpasswörter, fügen bei jedem Wechsel das nächste Sonderzeichen auf der Tastatur am Anfang oder Ende des Passworts ein und … und … und … Und Sie glauben, das ist sicher?
Informationssicherheit wird immer wichtiger
Neben allen rechtlichen Auflagen zur Informationssicherheit, der IT-Sicherheit und dem Datenschutz wird es immer wichtiger, zur Absicherung der eigenen Organisation bisherige Vorgehensweisen auf den Prüfstand zu stellen, bei Bedarf anzupassen oder bei Nichtvorhandensein entsprechend einzuführen. Das Thema wird immer komplexer, die Bedrohungen und Risiken immer mehr.
Ohne Ihre Anwender stehen Sie auf verlorenem Posten. Sie brauchen deren Unterstützung, damit neben zahlreichen Richtlinien und Anweisungen das Thema Sicherheit in Ihrer Organisation wirklich gelebt wird und nicht nur auf dem Papier steht. Feilschen Sie darum! Wie jetzt? Ja, feilschen Sie darum! Fordern Sie die Unterstützung Ihrer Mitarbeiter ein und bieten dafür im Gegenzug praxisgerechte Regelungen, die den Arbeitsalltag nicht noch schwerer machen als bisher. Mehr Unterstützung (z.B. beim manuellen Logout aus Systemen bei Abwesenheit oder der richtigen Entsorgung von Daten) seitens der Mitarbeiter und dafür im Gegenzug eine praktikable Passwort-Richtlinie, die nicht die Gängelung der Mitarbeiter im Vordergrund hat, sondern Lösungen anbietet. Klappt! Glauben Sie nicht? Probieren Sie es aus! Wir machen die Erfahrung immer wieder auf’s Neue bei unseren Kunden.
Danke an Dirk Fox und Frank Schaefer, die dieses Thema bereits 2009 beleuchtet haben. Dies ist ein neuer Anlauf, um etwas Schwung reinzubringen.
Sie sehen das ganz anders? Wir freuen uns auf eine rege Diskussion.
Update 28.11.2018: Ergänzung um MFA/2FA
Richtige Einwände, Prima. Allerdings:
“Ok, aber der regelmäßige Passwort-Wechsel, das ist sicher, das müssen wir so machen! Warum? [Anmerkung des Autors: “Eine meiner Lieblingsfragen!”]”
Die Strategie soll sich dazu an die Bedrohungslage ausrichten?! Und wenn die Bedrohungslage “fgdump” lautet oder ein anderes Tool, zum Auslesen des Hashes? Wenn also der Hash kopiert und offline ausgelesen wird?
Je nach Zeichensatz und Passwortlänge benötigt die Übersetzung einige Zeit. Da wäre es gut, wenn bis dahin das Passwort verändert wäre! 😉
Also: Passwortwechsel ist natürlich wichtig. Für Einzelfälle mag es unnötig sein, für den Standard nicht. Die neuerliche BSI-Empfehlung empfinde ich als Murks und wird bestimmt bald wieder kassiert!
Hi!
Danke für den Input. Zum Auslesen des Hashes sind aber mehr Rechte notwendig, die ein normaler Nutzer am Endgerät nicht hat. Habe ich auch in Bezug auf lokale Admins oder Admin-Rechte generell ein sauberes Konzept am Laufen, reden wir über ein theoretisches Risiko mit nicht vorhandener Eintrittswahrscheinlichkeit. Und dagegen brauche ich keine Schutzmaßnahmen 🙂 Dabei rede ich jetzt von Endgeräten von Nutzern. Auf Admin-Konsolen am Server sieht das im Zweifel wieder anders aus. Aber für den Bereich habe ich eh einen separaten Regelsatz, da es nicht hilfreich ist, alles über einen Kamm zu scheren.
@kleibold23 Wir in 2018 ? und das damals auch zum wiederholten Mal
https://t.co/Dcg8Wlg1Qz
RT @sayho: Da jetzt immer mehr Merkblätter zur DSGVO von Berufsverbänden kommen…bitte lest doch vorher einmal diesen schönen Beitrag von @a…