Nieder mit dem Passwortwahn – oder ist „lk54_:,/8Wq-LISs763“ ein gutes Passwort?

Die Debatte ist alt – was macht ein gutes und somit sicheres Passwort aus? In der Regel wird auf die Notwendigkeit komplexer Passwortregeln verwiesen, angereichert mit dem regelmäßigen Wechsel des Passworts. Ist dieses Paradigma wirklich angebracht und sorgt für sichere Authentisierung? Wir vertreten seit längerer Zeit einen diametralen Standpunkt, dass zu komplexe Passwörter und häufige erzwungene Passwortwechsel die Sicherheit schwächen, da die Passwörter unweigerlich notiert bzw. ungeschützt abgespeichert werden.

Da ist es gut zu lesen, wenn das NIST (The National Institute of Standards and Technology), eine Bundesbehörde im Geschäftsbereich des Handelsministeriums der Vereinigten Staaten, die für Standardisierungsprozesse zuständig ist, in der Publikation „NIST Special Publication 800-63B, Digital Identity Guidelines“ folgende Grundsätze vertritt:

  1. Remove periodic password change requirements
  2. Drop the algorithmic complexity song and dance
  3. Require screening of new passwords against lists of commonly used or compromised passwords

Dies sind Positionen, die wir nur teilen können:

zu 1.
Der Passwortwechsel will gut überlegt sein. Speziell wenn die Benutzer ohne Passwort-Safe sich die verschiedensten Passwörter merken müssen. Haben Sie Mut und verlängern Sie die Fristen für erzwungene Passwortwechsel.

zu 2.
Komplexe Passwörter die nicht sicher gespeichert werden können zwingen zum Aufschreiben der Passwörter in zumeist ungesicherten Umgebungen. Dies könnte nur durch einen sicheren Passwort-Safe sicher gestaltet werden. Zudem gibt es bei der Verwendung von Sonderzeichen wie etwa „äÄöÖüÜ- …“ Probleme bei der Authentisierung an bestimmten IT-Systemen. Unsere Empfehlung sind längere Passwort mit wenig Komplexität, so dass sich der Benutzer das Passwort merken kann (z.B. Bildung durch Verwendung der Anfangsbuchstaben eines geheimen Satzes; Passwort länger als 10 Zeichen).

zu 3.
Passwörter sind regelmäßig zu überprüfen, um zu einfache Passwörter (Vor und Nachname) erkennen zu können. Diese Passwörter sind zu eliminieren. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. Wenn möglich sollte es nicht in Wörterbüchern vorkommen. Es sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also auch nicht asdfgh oder 1234abcd und so weiter.

Die, nicht nur von uns, vertretende Art der Passwortbildung kommt Benutzern zu Gute, die keinen Passwort-Safe benutzen und zugleich wird dadurch das Sicherheitsniveau von Organisationen erhöht.

Nieder mit dem Passwortwahn …