Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.702.461 Produkten

Fabian A. Scherschel 743

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Bild: Christiaan Colen, CC BY-SA 2.0

Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

Viele der altbekannten Regeln für sichere Passwörter, die in den verganenen Jahren durch Admins und Sicherheits-Richtlinien propagiert wurden, erzeugen keine oder nur wenig zusätzliche Sicherheit. Das National Institute of Standards and Technology (NIST) in den USA hat deswegen gerade neue Regeln für Passwörter finalisiert. Viele der bekannten Empfehlungen für erhöhte Varianz in Passwörtern (Sonderzeichen, Groß- und Kleinschreibung, Zahlen) stammen aus älteren Versionen der NIST-Empfehlungen. Einer der Autoren, Bill Burr, hat gegenüber dem Wall Street Journal nun zu Protokoll gegeben, dass er diese Vorgaben heute bereut.

Anzeige

Mittlerweile wissen Sicherheitsforscher, dass viele dieser Regeln in der Praxis tatsächlich zu Passwörtern führen, die weniger sicher sind. Verstärkt wird das durch die frühere NIST-Empfehlung, Passwörter regelmäßig zu ändern – diese Vorgabe hat auch heise Security über Jahre hinweg immer wieder kontrovers diskutiert, denn sie ist in Security-Kreisen seit langem umstritten. Vor allem durch die milliardenfachen Passwort-Lecks der letzten Jahre haben Sicherheitsforscher viel darüber gelernt, welche Passwörter echte Nutzer in der Realität wählen und wie diese durch Passwort-Vorschriften beeinflusst werden. TL;DR: Viel zu viele dieser Passwörter sind trivial zu erraten, viele der aus den Passwörtern resultierenden Hashes lassen sich schnell knacken.

Eine der Konsequenzen daraus ist, dass die überarbeitete NIST-Richtlinie nun empfiehlt, Passwort-Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und diese nicht zu erlauben. Das kann man etwa mit Webdiensten wie Troy Hunts Pwned Passwords bewerkstelligen. Im Allgemeinen empfiehlt die NIST nun, lange Passphrasen zu verwenden. Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt.

Das kann man zum Beispiel dadurch erreichen, dass man einen einschlägigen Satz, den man sich leicht merken kann, durch ein Muster abwandelt, das nur einem selbst bekannt ist. Satz und Abwandlungs-Schema kann man sich relativ leicht merken, das Resultat wird aber in keiner Passwortliste auftauchen. Jedenfalls nicht, so lange das Passwort nicht in einem Passwortleck landet und im Internet veröffentlicht wird. Eben aus diesem Grund sollte man Passwörter auch ändern, wenn man erfährt, das sie kompromittiert wurden. Nur willkürlich nach einer gewissen Zeit ändern muss man sie in der Regel nicht. (fab)

743 Kommentare

Themen:

Anzeige
  1. Zahlenfolge "123456" immer noch beliebtestes Passwort in Deutschland

    Zahlenfolge "123456" erneut beliebtestes Passwort in Deutschland

    Simple Passwörter sind leicht zu merken, aber eben auch leicht zu knacken. Aus Bequemlichkeit landen sie stetig in der Top Ten der deutschen Passwörter. Warum eigentlich? Ein sicheres Passwort muss nicht zwingend kryptisch sein.

  2. Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

    Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

    Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

  3. Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.

  4. "Ändere-dein-Passwort-Tag": Pro und Contra Passwortwechsel

    Passwort

    Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtend ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.

  1. Hackerangriff: So schützen Sie Ihre Online-Konten

    Hacker haben es vor allem auf Ihre Online-Zugänge abgesehen. Wir zeigen Ihnen, wie Sie Ihre Online-Konten vor Angriffen und Schäden schützen.

  2. C++ Core Guidelines: Regeln für Ausdrücke und Anweisungen

    C++ Core Guidelines: Regeln für Ausdrücke und Anweisungen

    Es gibt relativ viele Regeln für Ausdrücke und Anweisungen in den C++ Core Guidelines. Um genau zu sein, mehr als 50 Regeln beschäftigen sich mit Deklarationen, Ausdrücken, Anweisungen und arithmetischen Ausdrücken.

  3. Chinas Wirtschaftsstrategie: "Made in China 2025"

    In Deutschland gibt es Unruhe wegen eines "Ausverkaufs" an China, Gabriel will die Regeln für Investitionen in der EU ändern

  1. Unterwegs im BMW i3S

    BMW i3s

    Eine neue Schlupfregelung und eine harmonischere Fahrwerksabstimmung machen den batterieelektrischen BMW i3s zum Agilitätswunder mit ganzheitlichem Ansatz dank Recycling-Materialien und einer mit Strom aus Wasserkraft hergestellten CFK-Karosserie. Aber der Preis ...

  2. Sternenexplosion: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Astronomie: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Der Argentinier Victor Buso widmet sich in seiner Freizeit der Astronomie: Nun ist es ihm offenbar als erstem Menschen überhaupt gelungen, die Anfänge einer Supernova abzulichten. Forscher erhoffen sich wichtige neue Erkenntnisse.

  3. Google spricht Empfehlungen für Business-Handys aus – ohne Samsung

    Google spricht Empfehlungen für Business-Handys aus – ohne Samsung

    Google will es Unternehmen leichter machen, ein passendes Smartphone zu finden. 21 Geräte entsprechen den strengen Business-Kriterien des Android-Entwicklers, ein Samsung-Handy gehört nicht dazu.

  4. Das Navi weiß den Weg: 40 Jahre GPS-Satelliten

    Darstellung eines Satelliten im Orbit

    Der erste Satellit des Global Positioning System flog 1978 ins All. Doch die Technik hat eine lange und anfangs militärische Geschichte - die zivile Nutzung kam erst auf Umwegen zustande.

Anzeige