[TinyTimm]

Zitat:

Gut gemeint, aber sinnlos

Sonderzeichen, Großbuchstaben, mindestens eine Ziffer und mindestens alle 90 Tage ändern: Das sind die Regeln für Passwörter, die in den vergangenen Jahren als Standardempfehlung verbreitet wurden. Ausgearbeitet wurden sie 2003 von Bill Burr für die US-Standardisierungsbehörde NIST. „Das meiste bereue ich jetzt“, sagte Burr nun in einem Interview. Denn häufig gewählte Passwörter wie „Pa$$w0rd1“ seien nicht besonders sicher, die Änderungen fielen meist minimal aus - und nervten die User. Heuer im Sommer wurden die NIST-Regeln überarbeitet - und sehen nun ganz anders aus.

Regelwerk über den Haufen geworfen

Was seit Jahren als fast unumstößliche Regel für Passwortsicherheit propagiert wird, sollte bald Schnee von gestern sein. 2003 hatte die US-Behörde National Institute of Standards and Technology (NIST) Empfehlungen herausgegeben, die schnell weltweit bei großen und kleinen Firmen, auf Unis und bei Privatnutzern Standard wurden. Doch der Erfinder bereut nun seine Tipps - und auch die Behörde änderte nun die Empfehlungen.

Auf acht Seiten der „NIST Special Publication 800-63. Appendix A.“ hatte Bill Burr die Regeln skizziert, die millionenfach Usern auf der ganzen Welt nahegelegt wurden: Passwörter sollen Großbuchstaben enthalten, Ziffern und Sonderzeichen. Und: Zumindest alle 90 Tage sollte das Passwort geändert werden.

Leicht berechenbar

„Das meiste bereue ich jetzt“, sagte der mittlerweile 72-jährige Burr dem „Wall Street Journal“. Denn bei Passwörtern sind die meisten Menschen wenig einfallsreich, der Einsatz von Sonderzeichen und Zahlen gleicht sehr häufig einem Muster - und ist damit für Hacker leicht berechenbar.

Noch schlimmer mache es die Regel, das Passwort alle 90 Tage zu ändern. Denn die meisten User würden, um sich die Kombination zu merken, minimale Änderungen vornehmen - und auch diese seien leicht zu durchschauen, wenn etwa „Pa$$wOrd1“ zu „Pa$$wOrd2“ werde. Es habe einfach nicht gut funktioniert: „Es hat die Leute nur wahnsinnig gemacht.“ Die Regeln würden zwar befolgt, aber „gute Passwörter“ würden nicht gewählt, so Burr, der mittlerweile in Pension ist.

Keinerlei Daten zur Verfügung

Allerdings räumte er ein, dass er damals unter Zeitdruck gestanden sei und keinerlei statistisches Material zur Verfügung gehabt habe. Er habe sogar in seiner Behörde nach der Herausgabe der - anonymisierten - Mitarbeiterpasswörter gefragt, sei damit aber abgeblitzt. Schließlich habe er sich von einem theoretischen Papier aus den 80er Jahren inspirieren lassen. „Am Schluss war es vielleicht für viele Leute zu kompliziert zu verstehen, und in Wahrheit war ich auf dem falscher Dampfer.“

Grundlegend überarbeitet

Mittlerweile gibt es statistisches Material zur Genüge - nämlich Hunderte Millionen gehackte und veröffentlichte Passwörter. Daraus konnten Forscher die Passwortgewohnheiten der User studieren - und mussten zu einem ernüchternden Schluss kommen. Viele glauben zwar, dass sie clever gewählt sind, das sind sie aber nicht. Immer wieder werden dieselben Kombinationen nur leicht modifiziert.

Auch aufgrund dieser Erkenntnisse hat die NIST ihre Empfehlungen heuer im Juni geändert. Zwei Jahre lang hatte man daran gearbeitet. „Wir haben bei null angefangen“, sagte Projektleiter Paul Grassi dem „Wall Street Journal“. Dabei habe man am Anfang gedacht, das Papier brauche nur ein kleines Update. Auch er meint: Die Regeln hätten für die Sicherheit wenig gebracht, dafür aber negative Auswirkungen auf die Usability gehabt.

Lange Phrasen als Empfehlung

Großbuchstaben, Ziffern und Sonderzeichen - all das kommt in den neuen Empfehlungen nicht mehr vor. Stattdessen sollte man längere, aber leicht zu merkende Phrasen als Passwort verwenden, also mehrere zusammengeschriebene Wörter - die im normalen Sprachgebrauch eher nichts miteinander zu tun haben. Ändern soll man sein Passwort nur noch, wenn es den Verdacht gibt, dass es in falsche Hände geraten ist. Grassi glaubt, dass sein Ex-Kollege Burr bei seiner Selbstkritik ein bisschen zu streng war. Immerhin habe Burr ein Sicherheitsdokument erstellt, das zehn bis 15 Jahre gehalten habe: „Ich hoffe nur, dass wir jetzt ein Dokument haben, das auch so lange aktuell ist.“

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[dieterthehaack]

Ja, wie wahr. Nachdem einigen Leuten trotz ihrer vermeintlich megakomplizierten Passwörter die Konten gehackt wurden (keine andere Möglichkeit), habe ich denen eine Passphrase nach der Dice-Methode gebaut (mindestens fünf bis sechs zufällige Wörter). Das scheint bisher zu halten.

[nolte]

Was ist mit Pw nur aus Zahlen?
Die Geburtstage von Papa, Mama, Tochter, Sohn ergibt ein 32stelliges Pw. Nimmt man Oma und Opa dazu sind es 48 Stellen. Würde wohl ewig dauern, alle durchzuprobieren. Zumal der Angreifer nicht weiss, dass es nur aus Kalenderdaten besteht.

[dieterthehaack]

Zitat:

Zitat von nolte

Was ist mit Pw nur aus Zahlen?

Benutze ich persönlich schon ewig bei bestimmten Sachen (hab ich die uralte Anschlusskennung der Telekom wenigstens nicht vergeblich memoriert, LOL).

Real gibt es allerdings unterschiedliche Längenbegrenzungen bei den Passwortfeldern, schau mal selber wie es bei der hier im Board aussieht. Bei Geburtsdaten sind außerdem die Wertebereiche eingeschränkt *und* es ist kein Zufallsmuster.

Ich rege mich ja schon länger über den Passwortmist auf, da muss endlich mal was passieren. Das komplexeste Passwort nützt nichts, wenn der Dienstbetreiber sich laufend die Datenbanken klauen lässt. Mir schwebt sowas wie die Sicherheitskarte von Paypal vor, zur 2FA. Es muss aber *eine* Karte sein, die man bei jeder Stelle einsetzen kann. Sonst hat man wieder fünfzehn verschiedene Karten liegen...

[Melvin van Horne]

Moin,

die Passwortregeln schützen doch nur gegen einen Brute Force Atacke. Passwörter erraten halte ich für Quatsch aus dem Fernsehen. Selbst sowas einfaches wie Vornamen sind ohne einen Hinweis nicht zu erraten. War es der Vorname, der Nachname von Onkel, Tante Mutter, Vater, Hund?

Die meisten Einbrüche basieren auf geklauten Datenbanken, Keyloggern und ähnlichem. Dagegen hilft "iRcuLCEStersUGHaRfIsTatuTERTriGO" auch nicht. Der einzige Effekt ist dann ein Zettel am Bildschirm oder eine Datei Passwort.txt auf dem Desktop.

Für jedes Konto ein eigenes Passwort und bei wirklich sensiblen Sachen 2FA und dann hat es sich für mich. Und weil ich mir die ganzen Passwörter nicht merken kann, nutze ich einen Passworttresor. Und wenn der geknackt wird, dann hab ich eben Pech. Irgendwann ist es mal gut.

Der Tipp "Bilde einen Satz und verwende die Anfangsbuchstaben" hilft mir auch nicht. Ich kann mir das Passwort nicht merken. Aber den ganzen Satz "Jeden Tag gehe ich zum Markt und kaufe 12 Zitronen.". Den soll ich mir merken? Waren es bei Amazon Zitronen oder Äpfel? Oder waren es bei mygully Zitronen und bei Paypal Gurken? Der Markt? Der Konsum?

@nolte Sicher oder nicht. Wenn ich die 48 Ziffern endlich richtig eingetippt habe, weiss ich doch nicht einmal mehr was ich auf der Seite eigentlich wollte.