Passwortsicherheit und neue NIST Richtlinien Special Publication 800-63B

von A.K.in Allgemein, security, yubikeyan Veröffentlicht am

The estimated reading time 3 minutes

Leider wird das Thema Passwörter in vielen Bereichen immer noch auf die leichte Schulter genommen. Das National Institute of Standards and Technology NIST gibt hier einige Richtlinien zum Thema Passwörter mit, außerdem Alternativen zu Passwörtern wie Hardwaretokens und Smartcards bzw. allgemein Phishing-resistente Authentifizierungsmethoden.
Microsoft bietet hier ein anschauliches Schema als Grafik an:

Um einigermaßen sicher im Bereich Authentifizierung zu agieren ist Stand heute ein FIDO2 Schlüssel oder Smartcard notwendig, speziell für hochprivilegierte Accounts.

Auch im NIST Dokument wird auf die Wichtigkeit von Phishing-resistenten Multifaktorauthentifizierungsmethoden (wie FIDO2) hingewiesen.
Weitere Infos zu FIDO2 hier.

Passwortanforderungen

Zurück zum Thema Passwörter also „the old way of auth“. Hier noch der LINK zur NIST Website SP 800-63B

Im Abschnitt 3.1.1.2 Password Verifiers geht es die Passwortanforderungen und einige Hinweise zu den Rahmenbedingungen bei der Verarbeitung von Passwörtern.

Ich werde mal versuchen die wesentlichen Punkte zu Passörtern zusammenzufassen.

  1. MUSS mindestens 8 Stellen haben.
  2. SOLLTE mindestens 15 Stellen haben.
  3. SOLLTE möglich sein mind. 64 stellige Kennwörter zu erstellen.
  4. SOLLTE ASCII Zeichensatz erlaubt sein.
  5. SOLLTE Unicode Zeichensatz erlaubt sein.
  6. KEINE Mischung von verschiedenen Zeichentypen auferlegen.
  7. KEINE periodische Änderung der Passwörter.
  8. KEINE Sicherheitsfragen für Zugänge um das Passwort zu umgehen.
  9. MUSS bei Änderung oder Erstellung gegen Passwortlisten (Blocklists) abgeprüft werden (bei Fund darf dieses Passwort nicht verwendet werden und muss ein neues definiert werden).
  10. MUSS eine Meldung (bei Blocklist-Fund)wiedergegeben werden warum das Passwort nicht verwendet werden kann.
  11. MUSS Limitierung der Anmeldeversuche integriert werden.
  12. MUSS bei Änderung und Erstellung über einen verschlüsselten Kanal übertragen werden.
  13. MUSS erlaubt sein einen Passwort-Manager zu verwenden und die Copy-Paste Funktion zu benutzen.
  14. MUSS das komplette Passwort verifiziert werden (in einigen Fällen werden Passwörter nur bis zu einer gewissen Stelle überprüft, alles was danach kommt wird abgeschnitten BSP1 und BSP2 ).

Strategie

Was ist nun die richtige Strategie um möglichst sichere Passwörter zu erstellen und diese dann auch anzuwenden? Hierzu gibt es ganz gelungenes Video des BSI auf Youtube.


In diesem Video werden die zwei Varianten dargestellt, sprich mind. 8 Stellen kryptisch und mit vier verschiedenen Zeichentypen oder eben möglichst lange und einfach also ein kompletter Satz mit zwei verschiedenen Zeichentypen.
BSP Variante 1:
rwq7qTkMaE#
Im Passwortmanager wird dieses Passwort bereits als „mäßig“ deklariert, wäre aber laut NIST in Ordnung.


BSP Variante 2:
Beim_Schreiben_dieses_Artikels_habe_ich2mal_pausiert

Selbst wenn die Unterstriche entfernt werden ist das Passwort immer noch erheblich sicherer als das kryptische Passwort aus Variante 1

FAZIT:

Bitte keine kurzen, einfachen Passwörter aus Passwortlisten wie Kaonashi verwenden, da es gute Möglichkeiten gibt lange und sichere Passwörter zu erstellen und noch eine Bitte: NUTZT EINEN PASSWORTMANAGER.

Hier noch ein kleiner Auszug aus der Kaonashi Passwortliste, genau die ersten 100 Einträge. Sollte jemand eines dieser Passwörter verwenden, rate ich dieses schleunigst zu ändern.
HINWEIS: in der Liste stehen 866 Mio Einträge!

123456
123456789
qwerty
password
12345
qwerty123
1q2w3e
DEFAULT
12345678
111111
1234567890
1234567
123123
000000
30media
qwertyuiop
10pace
24crow
59trick
59mile
19weed
abc123
66bob
123321
1q2w3e4r5t
)ryan
654321
666666
1234
password1
qwe123
7777777
asdasd
123
iloveyou
1q2w3e4r
555555
1qaz2wsx
123qwe
zxcvbnm
987654321
123456a
121212
qazwsx
112233
homelesspa
dragon
159753
777777
1234qwer
monkey
123123123
11111111
222222
qwerty1
asdfgh
asdasd123
gfhjkm
123654
a123456
asdfghjkl
yuantuo2012
123456q
999999
qwert
zxcvbn
1111111
88888888
qwer1234
Password
q1w2e3r4t5
11111
aaaaaa
123abc
0987654321
xxx
123456789a
x4ivygA51F
q1w2e3r4
qazwsxedc
football
3rJs1la7qE
131313
samsung
789456123
1111
12345a
1234561
888888
333333
fuckyou
159357
789456
qweasdzxc
987654
master
qweqwe
12344321
princess
sunshine

In diesem Sinne hoffe ich etwas Licht in das Thema Passwortsicherheit gebracht zu haben und freue mich über Kommentare.

Print Friendly, PDF & Email
Was this article helpful?
YesNo
0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Newest
Oldest Most Voted
Inline Feedbacks
View all comments