Komplexe Passwörter ade?
Neue Passwort-Empfehlungen im Check
Fortsetzung des Artikels von Teil 1
Was die neuen Standards bedeuten
Grundsätzlich handelt es sich bei der NIST-Veröffentlichung um eine Empfehlung und sie hat keinen gesetzlichen Charakter. In der Vergangenheit haben sich allerdings sehr viele Anbieter nach den Vorschlägen gerichtet. Bis die Empfehlungen umgesetzt sind, wird sich für Benutzer in der Praxis daher zunächst nicht viel ändern. Viele Dienste und auch Administratoren werden nach wie vor auf die klassische Anmeldung mit Benutzernamen und Passwort setzen. Das Sicherheitsunternehmen erwartet allerdings, dass MFA zumindest bei den größeren Onlinediensten mehr genutzt und vielleicht die eine oder andere bisherige Richtlinie gelockert wird.
Wer einen Onlinedienst betreibt, sollte sicherstellen, dass die Passwörter serverseitig sicher verarbeitet werden. Berghoff weist darauf hin, dass seriöse Anbieter niemals die Passwörter selbst in ihrer Datenbank ablegen oder diese mit einer einfachen Verschlüsselung versehen. Denn in der Vergangenheit gab es immer wieder Fälle, in denen Passwörter im Klartext gespeichert waren. In Diskussionsforen passierte dies ab und zu – hat man auf den „Passwort vergessen“ – Link geklickt, bekam man sein Passwort zugeschickt. Das ist ein sicheres Anzeichen dafür, dass die Passwörter nicht ausreichend abgesichert sind.
Die Neuregelungen zeigen, dass die Sicherung von Konten nicht allein Sache der Benutzer ist – Dienstanbieter und Administratoren sind hier ebenso in der Pflicht. Statt den Kunden und Anwendern immer komplexere Passwortrichtlinien aufzubürden, die obendrein (durch geschicktes Umgehen, Iterationen und Wiederverwendung von Passwörtern) keinen wirklichen Gewinn an Sicherheit versprechen, setzt man nun verstärkt auf die serverseitige Sicherung von Zugängen und die Nutzung alternativer und zusätzlicher Anmeldemethoden. Wenn ein Passwort beispielsweise durch Phishing kompromittiert wird, dann spielt es keine Rolle, wie lang oder komplex das Passwort ist.
Wer sich bereits so sehr an die komplexen Passwörter gewöhnt hat, dass er sich bei allem Anderen unwohl fühlt, der kann diese natürlich beibehalten – aber er müsste sie zumindest nicht mehr regelmäßig ändern. Für alle Anderen gilt: der Fantasie sind keine Grenzen gesetzt. Wer will, könnte nach den NIST-Empfehlungen ganze Sätze, inklusive Leer- und Satzzeichen als Passwort definieren - man spricht hier auch von einer "Passphrase". Vorschriften für deren Zusammensetzung gibt es in der Empfehlung nicht. Leicht zu raten sollte ein Passwort oder eine Passphrase dennoch nicht sein. Passwörter wie der eigene Geburtstag, »123456«, «abcdef«, «aaaaaaa« oder »qwertyuiop« sind und bleiben schlechte Passwörter und können von einem Netzwerkadministrator oder Webseitenbetreiber auf eine schwarze Liste nicht zugelassener Passwörter gesetzt werden. Auch der Ratschlag, dass man nicht dasselbe Passwort für mehrere Zwecke - beispielsweise für E-Mail, soziale Netzwerke und eine Shoppingplattform - einsetzen, hat weiterhin Bestand.
- Neue Passwort-Empfehlungen im Check
- Was die neuen Standards bedeuten
Lesen Sie mehr zum Thema
