wei - stock.adobe.com
Was ist die beste Richtlinie für Passwörter?
Lange Zeit galt, dass komplizierte Passwörter, die regelmäßig geändert werden müssen, die Sicherheit erhöhen. Das löst bei näherer Betrachtung jedoch nicht alle Passwortprobleme.
Was ist die richtige Passwortrichtlinie? Herkömmliche Passwortrichtlinien besagen häufig, dass ein Passwort mindestens acht bis zwölf Zeichen lang sein muss. Wenn es zu einem Konto mit erhöhten Rechten gehört, dann sind 16 Zeichen oder mehr angezeigt. Darüber hinaus sollten Buchstaben, Zahlen und Symbole enthalten sein (was das Passwort komplex macht) und sollte alle 90 Tage oder weniger geändert werden. Das ist die Passwortpolitik, die uns seit 30 Jahren gelehrt wird.
Im Jahr 2015 änderten die National Institutes of Standards & Technology (NIST) all diese Richtlinien und ihre eigenen früheren Richtlinien, als sie die NIST-Sonderveröffentlichung 800-63 mit dem Titel Digital Identity Guidelines veröffentlichten. Mit SP 800-63 erklärte das NIST, dass die Verwendung der alten Passwortrichtlinien die Wahrscheinlichkeit einer Kompromittierung aufgrund dieses Ratschlags erhöht, im Vergleich dazu, wenn man sich überhaupt nicht daran hält.
Jetzt sagt das NIST, dass keine langen und komplexen Passwörter benötigt werden sollten (sechs bis acht Zeichen sind in Ordnung, künstliche Komplexität ist nicht erforderlich) und dass sie nicht geändert werden müssen, es sei denn, man weiß, dass sie kompromittiert wurden. Dies ist im Wesentlichen die Defacto-Passwortpolitik, die die IT-Sicherheitswelt als superschwache Passwortpolitik betrachtete. Jetzt sagt das NIST, dass ihre neuen Ratschläge besser sind als lange und komplexe Passwörter, die häufig geändert werden.
Zu sagen, dies habe die IT-Sicherheitswelt überrascht und verwirrt, wäre eine Untertreibung. Der neue Ratschlag löst so viel so Misstrauen aus, dass fast kein Unternehmen ihn befolgt, außer den Personen und Unternehmen, die von vornherein nicht auf den traditionellen Ratschlag umgestiegen sind. Die meisten öffentlichen Websites haben nie verlangt, dass Menschen lange, komplexe und häufig wechselnde Passwörter haben. Fast jeder hat das gleiche Passwort für Amazon, Facebook und Twitter, seit er sich angemeldet hat.
Aber auf der Unternehmens- und Regierungsseite haben die meisten Unternehmen in den letzten zehn Jahren den traditionellen Passwortratschlag befolgt, und er hat sich sicherheitstechnisch so fest verankert, dass ihn fast niemand mehr aufgeben will.
Warum hat das NIST seine Empfehlungen geändert?
NIST-Forscher untersuchten jahrzehntelange reale Passwort-Hacks und stellten fest, dass die meisten Angriffe mit Passwörtern nicht auf Raten oder Knacken beruhen. Das Erraten von Passwörtern funktioniert so, dass jemand oder ein automatisiertes Tool verschiedene mögliche Passwortkombinationen gegen ein Login-Portal ausprobiert, um zu sehen, ob sie willkürlich das richtige Passwort erraten können.
Passwort-Cracking bedeutet, dass sich ein Angreifer zuvor eine verschleierte Form des Passwortes verschafft hat, zum Beispiel die kryptographische Hash-Darstellung des Passwortes, und eine Art Automatisierung verwendet, um die verschleierte Form des Passwortes in sein Klartext-Äquivalent umzuwandeln.
Vor Jahrzehnten machte das Erraten und Knacken von Passwörtern die Mehrzahl der Passwortangriffe aus. Heute trifft das nicht mehr zu. In den meisten Fällen werden die Passwörter von Personen gestohlen (mittels Phishing und Social Engineering oder aus kompromittierten Passwortdatenbanken) oder die Passwort-Hashes werden zur Authentifizierung verwendet, ohne dass eine Umwandlung in das Klartextäquivalent erforderlich ist (so genannte Pass-the-Hash-Angriffe).
NIST-Forscher stellen fest, dass Menschen, die gezwungen sind, lange, komplexe und sich häufig ändernde Passwörter zu verwenden, diese zwischen verschiedenen Websites und Diensten wiederverwenden. Das erhöht die Chancen einer Kompromittierung durch die Verwendung dieser Passwortrichtlinien erheblich.
Stattdessen empfiehlt das NIST die Verwendung von Multi-Faktor-Authentifizierung und bei der Verwendung von Passwörtern, dass diese nicht lang, komplex oder häufig geändert werden sollten. Stattdessen empfehlen sie, dass die Passwörter nicht aus einer Liste mit sehr gebräuchlichen Passwörtern stammen und nicht leicht zu erraten sind (wie auch immer das bestimmt wird).
Auf der anderen Seite gibt es viele Hacker (oder ihre Malware-Kreationen), die immer noch großen Erfolg mit kürzeren, schwächeren Passwörtern haben. Beispielsweise verwenden viele Lösegeldprogramme Passwortraten gegen RDP-Sitzungen (Remote Desktop Protocol), um in Computer einzubrechen. In diesem Artikel heißt es, dass 30 Prozent aller erfolgreichen Ausnutzungen von Lösegeldprogrammen auf schwache Passwörter zurückzuführen sind.
Bei der Analyse verschiedener gestohlener Passwörter (die in öffentlichen Repositories verfügbar sind) wurde festgestellt, dass über 30 Jahre hinweg viel zu viele Menschen die gleichen gebräuchlichen Passwörter verwenden. Zum Beispiel heißt es im Jahresbericht 2019 des National Cybersecurity Centre des Vereinigten Königreichs (PDF), dass das vierthäufigste Passwort Passwort ist. Das erste, zweite und dritthäufigste Passwort? 123456, 123456789 und qwerty. So etwas kann man nicht erfinden. Und das ist schon seit Jahrzehnten so.
Um fair zu bleiben, sagt die entspannte Passwort-Richtlinie des NIST ausdrücklich, dass Anbieter und Administratoren den Benutzern nicht erlauben sollten, leicht zu erratende Passwörter zu verwenden. Das Problem ist, dass die meisten Passwortauthentifizierungssysteme nicht über die Logik verfügen, um Menschen daran zu hindern, schwache Passwörter wie qwertz oder 123456 zu wählen. Stattdessen verlangen sie die Komplexität von Passwörtern.
Die Forderung, dass Passwörter Buchstaben, Zahlen und Symbole enthalten müssen, stellt sicher, dass die Leute nicht das einfachste aller Passwörter verwenden (obwohl immer noch p@ssword1 verwendet werden könnte, um die Komplexitätsanforderung zu erfüllen). Die Forderung nach komplexen Passwörtern ist der einfachste Weg, um zu verhindern, dass Mitarbeiter supereinfache Passwörter verwenden.
Es ist wichtig zu beachten, dass das Hauptproblem des NIST bei der traditionellen Passwortrichtlinie nicht darin besteht, dass Passwörter komplex sind oder nicht. Offensichtlich kümmert sich das NIST auch um Leute, die keine leicht zu erratenden Passwörter verwenden.
Ihr Problem ist, dass, wenn lange und komplexe Passwörter auch mit erzwungenen Passwortänderungen verwendet werden, die die meisten Leute über mehrere, nicht verwandte Seiten hinweg wiederverwenden. Und das ist wahr: Die meisten Menschen verwenden dieselben vier bis acht Passwörter auf jeder passwortgeschützten Website und jedem passwortgeschützten Dienst, die oft über 100 verschiedene Seiten umfassen.
Die Wiederverwendung bedeutet, dass eine Kompromittierung einer Seite zur Kompromittierung einer Reihe von verschiedenen Seiten führen kann. Dies ist das Hauptproblem des NIST bei der traditionellen Passwortrichtlinie – dass die erzwungenen Änderungen die Wiederverwendung fördern, insbesondere wenn Komplexität und große Länge erforderlich sind.
Niemals Passwörter ändern?
Das NIST empfiehlt, dass Passwörter niemals geändert werden, es sei denn, das IT-Sicherheitsexperten denken/wissen, dass sie kompromittiert wurden. An dieser Stelle bin ich uneinig mit den NIST-Richtlinien. Die meisten Leute, deren Passwörter kompromittiert worden sind, wussten es lange Zeit nicht, wenn überhaupt.
Es gibt Abermilliarden und Abermilliarden von Logins und Passwörtern im Internet, und die meisten dieser Leute wissen es nicht und sie sind für jedermann öffentlich zugänglich, um sie zu überprüfen. Die meisten Passwortdiebstähle erfolgen im Geheimen.
Die Angreifer wollen nicht, dass die Leute die Listen kennen oder sie in privaten Foren verkaufen. Das Hauptargument für die periodische Änderung eines Passworts ist, dass die meisten Leute nicht wissen, wann ihre Passwörter kompromittiert worden sind. Um das Risiko auszugleichen, sollten Passwörter mindestens einmal im Jahr geändert werden, wenn nicht sogar öfter, je nach Risikotoleranz des Unternehmens.
„Das größte Problem der Passwortrichtlinien ist, dass IT-Abteilungen wahrscheinlich viel zu viel Zeit damit verbringen.“
Roger A. Grimes, KnowBe4
30 Prozent der Lösegeldangriffe sind auf leicht zu erratende Passwörter zurückzuführen. Das ist ein ziemlich großes Risiko. Und das Erfordernis langer und komplexer Kennwörter gleicht dieses Risiko aus.
Und das regelmäßige Ändern von Passwörtern gleicht ein weiteres riesiges Risiko aus. Es sollte nicht so sein, dass eine Passwortkompromittierung der Passwörter von Mitarbeitern von vor einem Jahr gegen ein Unternehmen immer noch gültig ist.
Unternehmen sollten dieses Risiko nicht eingehen, zumindest nicht, ohne dass das NIST leicht zu erkennen gibt, dass diese Bedenken ausgeräumt sind. Deshalb sollte immer noch die alte Passwortrichtlinie, oder eigentlich eine leicht modifizierte Version verwendet werden.
Empfehlungen für Passwortrichtlinien
Hier sind aktuelle Empfehlungen zur Passwortrichtlinie für Unternehmen:
- Verwenden Sie die Multi-Faktor-Authentifizierung (MFA), wenn möglich und wenn sie aus Sicherheitsgründen offensichtlich erforderlich ist (das bedeutet, Sie brauchen sie nicht für jede Website und Anmeldung).
- Wo MFA keine Option ist, benutzen Sie Passwortmanager, wo es möglich ist, indem Sie einzigartige, möglichst lange, zufällige Passwörter für jede Website oder Sicherheitsdomäne erstellen.
- Wo Passwortmanager nicht möglich sind, verwenden Sie lange, einfache Passphrasen.
- Ändern Sie alle Kennwörter mindestens einmal pro Jahr, und ändern Sie Geschäftskennwörter alle 90 bis 180 Tage.
- Verwenden Sie in allen Fällen keine allgemeinen Passwörter (zum Beispiel 123456, Passwort oder qwertz etc.).
- Das Wichtigste ist, dass Sie unabhängig von Ihrer Passwortrichtlinie niemals irgendein Passwort zwischen verschiedenen Sites wiederverwenden!
Es gibt kein Authentifizierungssystem oder eine Überprüfung, die Unternehmen versichern kann, dass ihre Mitarbeiter und Kollegen nicht dasselbe Passwort in zwei verschiedenen Systemen wiederverwenden. Es gibt einige Werkzeuge und Dienste, die die Passwörter einer Organisation mit bekannten gestohlenen Passwort-Dumps vergleichen können, aber nicht eines, dass das Passwort einer Person in Ihrem System mit jedem System vergleichen kann, zu dem sie gehört. Es existiert nicht und wird wahrscheinlich nie existieren.
Die beste Abhilfe ist eine Schulung des Sicherheitsbewusstseins für alle, bei der man lernt, Passwörter nicht zwischen verschiedenen Websites auszutauschen.
Das größte Problem der Passwortrichtlinien ist, dass IT-Abteilungen wahrscheinlich viel zu viel Zeit damit verbringen. Insgesamt ist das Risiko von Ausbeutungen aufgrund von Passwortproblemen selbst bei zumindest vorübergehend schwachen Passwörtern, die an 30 Prozent der Lösegeld-Angriffe beteiligt waren, im Vergleich zu Social Engineering und nicht gepatchter Software immer noch viel geringer. Phishing als Social Engineering ist für 70 bis 90 Prozent aller Verstöße verantwortlich.
Ungepatchte Software ist an 20 bis 40 Prozent beteiligt. Zusammen machen sie 90 bis 99 Prozent aller erfolgreichen Verstöße aus. Alles andere zusammengenommen, einschließlich Passwortprobleme, macht nur vielleicht höchstens 10 Prozent aller Sicherheitsverletzungen aus.
Wenn IT-Abteilungen also Tage und Tage damit verbringen, darüber zu debattieren, wie ihre Passwortrichtlinie aussehen sollte, aber nicht auch Tage und Tage damit verbringen, die Kontrollen zu verbessern, die zur Eindämmung von Social Engineering und ungepatchter Software eingesetzt werden, verbringen Mitarbeiter zu viel Zeit mit Passwörtern.
Was ist also die beste Passwort-Richtlinie? Unternehmen sollten sich auf die Bekämpfung von Social Engineering und das Patchen ungepatchter Software konzentrieren, bis sie diese beiden Probleme so weit gelöst haben, dass sie bei weitem nicht mehr die beiden größten Probleme sind.
Über den Autor:
Roger A. Grimes ist Data-Driven Defense Evangelist bei KnowBe4.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.