Im Jahre 2003 verfasste ein gewisser Bill Burr, seines Zeichens Mitarbeiter des National Institute of Standards and Technology (NIST) den sog. „NIST Special Publication 800 – 63. Appendix A“. Die darin für US-Behörden empfohlenen Sicherheitsstandards fanden weltweiten Anklang und so übernahm auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) einige der “Vorgaben”. Eine davon: Passwörter sollten alle 90 Tage gewechselt werden. Nun rudert das BSI zurück.
Bill Burr auf dem falschen Dampfer
Dass er ein wenig über das Ziel hinausgeschossen sei, gab Bill Burr schon 2017 in einem Interview mit dem Wall Street Journal zu. Burr erklärte, dass seine ursprünglichen Empfehlungen auf einem veralteten Paper aus den 1980er Jahren basierten. Das NIST gab 2017 dementsprechend neue Empfehlungen für die Passwortvergabe heraus.
Die neuen Empfehlungen des NIST:
- sehr lange, statt besonders komplizierte Passwörter nutzen
- auch komplette Sätze als Passwort geeignet
- Passwort-Dopplungen unbedingt vermeiden
- Passwörter NICHT ändern, außer es liegt ein begründeter Verdacht eines Hackerangriffes vor
- Sonderzeichen nicht unbedingt notwendig (erhöhen Sicherheit nicht zwingend)
- dasselbe Passwort nicht für unterschiedliche Zwecke nutzen
BSI erneuert Empfehlungen ebenfalls
In seinem IT-Grundschutz-Kompendium verteidigte das BSI bis zuletzt die ursprünglichen Vorgaben des NIST. Allerdings änderte die Bundesbehörde dann doch kürzlich ihre Meinung.
Die neuen Vorgaben des BSI im originalen Wortlaut:
ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)
“In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.
ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden. […]“
| Die Empfehlungen von NIST und BSI, das Passwort nicht regelmäßig abzuändern, basieren jedoch auf der Annahme, dass User irgendwann unsichere Chiffren nutzen, um sich neue Passwörter leichter merken zu können. Wir finden: Mit dem richtigen Passwort-Manager lässt sich dieses Problem relativ schnell beseitigen. Neben einem Passwortgenerator verfügen die Programme zudem über die Möglichkeit, Passwörter via AutoFill Funktion an entsprechender Stelle einzugeben. So müssen User das Passwort nicht einmal unbedingt kennen. Vor allem in Unternehmen kann dies zur IT-Sicherheit beitragen. Außerdem schützt die Funktion vor manchen Keylogger-Arten. |
Unbedingt 2FA verwenden
Auf seiner Website empfiehlt das BSI zudem, Gebrauch von der Zwei-Faktor-Authentifizierung zu machen. Hierbei wird ein zweiter Schlüssel abgefragt, bevor der Zugriff auf ein Benutzerkonto gewährt. Das kann beispielsweise ein individueller SMS-Code oder eine über entsprechende Hardware (TAN-Generator) generierte TAN (Transaktionsnummer) sein.
