Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 727

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Bild: Christiaan Colen, CC BY-SA 2.0

Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

Viele der altbekannten Regeln für sichere Passwörter, die in den verganenen Jahren durch Admins und Sicherheits-Richtlinien propagiert wurden, erzeugen keine oder nur wenig zusätzliche Sicherheit. Das National Institute of Standards and Technology (NIST) in den USA hat deswegen gerade neue Regeln für Passwörter finalisiert. Viele der bekannten Empfehlungen für erhöhte Varianz in Passwörtern (Sonderzeichen, Groß- und Kleinschreibung, Zahlen) stammen aus älteren Versionen der NIST-Empfehlungen. Einer der Autoren, Bill Burr, hat gegenüber dem Wall Street Journal nun zu Protokoll gegeben, dass er diese Vorgaben heute bereut.

Mittlerweile wissen Sicherheitsforscher, dass viele dieser Regeln in der Praxis tatsächlich zu Passwörtern führen, die weniger sicher sind. Verstärkt wird das durch die frühere NIST-Empfehlung, Passwörter regelmäßig zu ändern – diese Vorgabe hat auch heise Security über Jahre hinweg immer wieder kontrovers diskutiert, denn sie ist in Security-Kreisen seit langem umstritten. Vor allem durch die milliardenfachen Passwort-Lecks der letzten Jahre haben Sicherheitsforscher viel darüber gelernt, welche Passwörter echte Nutzer in der Realität wählen und wie diese durch Passwort-Vorschriften beeinflusst werden. TL;DR: Viel zu viele dieser Passwörter sind trivial zu erraten, viele der aus den Passwörtern resultierenden Hashes lassen sich schnell knacken.

Sichere Passwörter, Anno 2017

Eine der Konsequenzen daraus ist, dass die überarbeitete NIST-Richtlinie nun empfiehlt, Passwort-Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und diese nicht zu erlauben. Das kann man etwa mit Webdiensten wie Troy Hunts Pwned Passwords bewerkstelligen. Im Allgemeinen empfiehlt die NIST nun, lange Passphrasen zu verwenden. Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt.

Das kann man zum Beispiel dadurch erreichen, dass man einen einschlägigen Satz, den man sich leicht merken kann, durch ein Muster abwandelt, das nur einem selbst bekannt ist. Satz und Abwandlungs-Schema kann man sich relativ leicht merken, das Resultat wird aber in keiner Passwortliste auftauchen. Jedenfalls nicht, so lange das Passwort nicht in einem Passwortleck landet und im Internet veröffentlicht wird. Eben aus diesem Grund sollte man Passwörter auch ändern, wenn man erfährt, das sie kompromittiert wurden. Nur willkürlich nach einer gewissen Zeit ändern muss man sie in der Regel nicht. (fab)

727 Kommentare

Themen:

Anzeige
  1. Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

    Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

    Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

  2. "Ändere-dein-Passwort-Tag": Pro und Contra Passwortwechsel

    Passwort

    Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtend ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.

  3. Offizielles Clash-of-Clans-Forum gehackt, angeblich über 1 Million Konten betroffen

    Offizielles Clash-of-Clans-Forum gehackt, angeblich über 1 Million Konten betroffen

    Supercell, der Spiele-Entwickler von absurd erfolgreichen Titeln wie "Clash Royale" für mobile Geräte, gesteht einen Hack seines Forums ein. Allem Anschein nach, lassen sich die abgezogenen Passwörter vergleichsweise einfach knacken.

  4. Iran vor Präsidentschaftswahl: Stärkere Kontrolle von Telegram angekündigt

    Messaging-Dienst Telegram

    Im Iran haben Vertretern der Regierung darauf hingewiesen, dass die Regeln der Wahlgesetze auch in Messengern wie Telegram Anwendung finden. Wer etwa Kandidaten beleidige oder sich an Schmähkampagnen beteilige, werde verfolgt.

  1. Von autonomen Fahrzeugen und Menschen

    Autonome Fahrzeuge sollen sicherer sein, weil sie Regeln strikt befolgen, aber in der Menschenwelt sind Regeln dazu da, sie zu brechen

  2. Nach Köln: Debatte um einfachere Aufenthaltsbeendigung

    Die Ausweisung und Abschiebung von Kriminellen stößt oft auf Hindernisse

  3. Chinas Wirtschaftsstrategie: "Made in China 2025"

    In Deutschland gibt es Unruhe wegen eines "Ausverkaufs" an China, Gabriel will die Regeln für Investitionen in der EU ändern

  1. Was erwartet Sie auf dem Caravan Salon 2017

    Wohnwagen

    Zwischen 25. August und 3. September präsentieren auf dem Caravan Salon in Düsseldorf über 130 Caravan- und Reisemobilmarken und mehr als 2100 Freizeitfahrzeuge. Der Salon ist damit die größte Campingmesse der Welt

  2. Die Welt im Glashaus

    Die Umbrüche im Verhältnis von Mensch, Maschine und Natur spiegeln sich in der Architektur aus Eisen und Glas wider - Teil 1

Anzeige