Foto: Pixabay

Im Jahre 2003 verfasste ein gewisser Bill Burr, seines Zeichens Mitarbeiter des National Institute of Standards and Technology (NIST) den sog. „NIST Special Publication 800 – 63. Appendix A“. Die darin für US-Behörden empfohlenen Sicherheitsstandards fanden weltweiten Anklang und so übernahm auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) einige der “Vorgaben”. Eine davon: Passwörter sollten alle 90 Tage gewechselt werden. Nun rudert das BSI zurück.

Bill Burr auf dem falschen Dampfer

Dass er ein wenig über das Ziel hinausgeschossen sei, gab Bill Burr schon 2017 in einem Interview mit dem Wall Street Journal zu. Burr erklärte, dass seine ursprünglichen Empfehlungen auf einem veralteten Paper aus den 1980er Jahren basierten. Das NIST gab 2017 dementsprechend neue Empfehlungen für die Passwortvergabe heraus.

Die neuen Empfehlungen des NIST:

BSI erneuert Empfehlungen ebenfalls

In seinem IT-Grundschutz-Kompendium verteidigte das BSI bis zuletzt die ursprünglichen Vorgaben des NIST. Allerdings änderte die Bundesbehörde dann doch kürzlich ihre Meinung.

Die neuen Vorgaben des BSI im originalen Wortlaut:

ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)

“In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.

ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden. […]“

Die Empfehlungen von NIST und BSI, das Passwort nicht regelmäßig abzuändern, basieren jedoch auf der Annahme, dass User irgendwann unsichere Chiffren nutzen, um sich neue Passwörter leichter merken zu können. Wir finden: Mit dem richtigen Passwort-Manager lässt sich dieses Problem relativ schnell beseitigen.   Neben einem Passwortgenerator verfügen die Programme zudem über die Möglichkeit, Passwörter via AutoFill Funktion an entsprechender Stelle einzugeben. So müssen User das Passwort nicht einmal unbedingt kennen.   Vor allem in Unternehmen kann dies zur IT-Sicherheit beitragen. Außerdem schützt die Funktion vor manchen Keylogger-Arten.

Unbedingt 2FA verwenden

Auf seiner Website empfiehlt das BSI zudem, Gebrauch von der Zwei-Faktor-Authentifizierung zu machen. Hierbei wird ein zweiter Schlüssel abgefragt, bevor der Zugriff auf ein Benutzerkonto gewährt. Das kann beispielsweise ein individueller SMS-Code oder eine über entsprechende Hardware (TAN-Generator) generierte TAN (Transaktionsnummer) sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.