Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 733

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Bild: Christiaan Colen, CC BY-SA 2.0

Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

Viele der altbekannten Regeln für sichere Passwörter, die in den verganenen Jahren durch Admins und Sicherheits-Richtlinien propagiert wurden, erzeugen keine oder nur wenig zusätzliche Sicherheit. Das National Institute of Standards and Technology (NIST) in den USA hat deswegen gerade neue Regeln für Passwörter finalisiert. Viele der bekannten Empfehlungen für erhöhte Varianz in Passwörtern (Sonderzeichen, Groß- und Kleinschreibung, Zahlen) stammen aus älteren Versionen der NIST-Empfehlungen. Einer der Autoren, Bill Burr, hat gegenüber dem Wall Street Journal nun zu Protokoll gegeben, dass er diese Vorgaben heute bereut.

Mittlerweile wissen Sicherheitsforscher, dass viele dieser Regeln in der Praxis tatsächlich zu Passwörtern führen, die weniger sicher sind. Verstärkt wird das durch die frühere NIST-Empfehlung, Passwörter regelmäßig zu ändern – diese Vorgabe hat auch heise Security über Jahre hinweg immer wieder kontrovers diskutiert, denn sie ist in Security-Kreisen seit langem umstritten. Vor allem durch die milliardenfachen Passwort-Lecks der letzten Jahre haben Sicherheitsforscher viel darüber gelernt, welche Passwörter echte Nutzer in der Realität wählen und wie diese durch Passwort-Vorschriften beeinflusst werden. TL;DR: Viel zu viele dieser Passwörter sind trivial zu erraten, viele der aus den Passwörtern resultierenden Hashes lassen sich schnell knacken.

Sichere Passwörter, Anno 2017

Eine der Konsequenzen daraus ist, dass die überarbeitete NIST-Richtlinie nun empfiehlt, Passwort-Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und diese nicht zu erlauben. Das kann man etwa mit Webdiensten wie Troy Hunts Pwned Passwords bewerkstelligen. Im Allgemeinen empfiehlt die NIST nun, lange Passphrasen zu verwenden. Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt.

Das kann man zum Beispiel dadurch erreichen, dass man einen einschlägigen Satz, den man sich leicht merken kann, durch ein Muster abwandelt, das nur einem selbst bekannt ist. Satz und Abwandlungs-Schema kann man sich relativ leicht merken, das Resultat wird aber in keiner Passwortliste auftauchen. Jedenfalls nicht, so lange das Passwort nicht in einem Passwortleck landet und im Internet veröffentlicht wird. Eben aus diesem Grund sollte man Passwörter auch ändern, wenn man erfährt, das sie kompromittiert wurden. Nur willkürlich nach einer gewissen Zeit ändern muss man sie in der Regel nicht. (fab)

733 Kommentare

Themen:

Anzeige
  1. Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

    Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

    Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

  2. Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.

  3. "Ändere-dein-Passwort-Tag": Pro und Contra Passwortwechsel

    Passwort

    Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtend ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.

  4. Offizielles Clash-of-Clans-Forum gehackt, angeblich über 1 Million Konten betroffen

    Offizielles Clash-of-Clans-Forum gehackt, angeblich über 1 Million Konten betroffen

    Supercell, der Spiele-Entwickler von absurd erfolgreichen Titeln wie "Clash Royale" für mobile Geräte, gesteht einen Hack seines Forums ein. Allem Anschein nach, lassen sich die abgezogenen Passwörter vergleichsweise einfach knacken.

  1. Nach Köln: Debatte um einfachere Aufenthaltsbeendigung

    Die Ausweisung und Abschiebung von Kriminellen stößt oft auf Hindernisse

  2. Chinas Wirtschaftsstrategie: "Made in China 2025"

    In Deutschland gibt es Unruhe wegen eines "Ausverkaufs" an China, Gabriel will die Regeln für Investitionen in der EU ändern

  3. IT-Sicherheit und Datenschutz in IoT-Projekten umsetzen

    Der Security Engineering Lifecycle (SEL) ist von der ersten Produktidee bis zum Ende des Produkts mehrfach zu durchlaufen, um das Sicherheitskonzept immer wieder neu gegenüber den sich stetig ändernden Randbedingungen zu prüfen und es gegebenenfalls anzupassen (Abb. 2).

    Ob Medizintechnik, Automobilbranche oder Automatisierung von Wirtschaftsabläufen: De facto sind viele IoT-Daten und -Anwendungen hoch sensitiv und sollten nur für Berechtigte zugänglich sein. Leider ist das in der Realität oft nicht der Fall.

  1. Im Test: Lexus RX450h F-Sport

    Lexus, alternative Antriebe, Hybridantrieb

    Der Reiz des Lexus RX450h F-Sport liegt klar in der Abgrenzung von den Diesel-betriebenen SUVs durch den Hybridantrieb. Der ist das Alleinstellungsmerkmal des großen Lexus. Eine Ausfahrt soll klären, wo sich er von der der Konkurrenz abgrenzt

  2. US Supreme Court wird über US-Zugriff auf EU-Daten entscheiden

    Neun Personen in schwarzen Talaren

    Die US-Regierung will Microsoft zwingen, in der EU gespeicherte Daten in die USA zu holen und preiszugeben. Bislang vergeblich. Nun widmet sich das US-Höchstgericht dem Fall.

Anzeige