The estimated reading time 3 minutes
Leider wird das Thema Passwörter in vielen Bereichen immer noch auf die leichte Schulter genommen. Das National Institute of Standards and Technology NIST gibt hier einige Richtlinien zum Thema Passwörter mit, außerdem Alternativen zu Passwörtern wie Hardwaretokens und Smartcards bzw. allgemein Phishing-resistente Authentifizierungsmethoden.
Microsoft bietet hier ein anschauliches Schema als Grafik an:
Um einigermaßen sicher im Bereich Authentifizierung zu agieren ist Stand heute ein FIDO2 Schlüssel oder Smartcard notwendig, speziell für hochprivilegierte Accounts.
Auch im NIST Dokument wird auf die Wichtigkeit von Phishing-resistenten Multifaktorauthentifizierungsmethoden (wie FIDO2) hingewiesen.
Weitere Infos zu FIDO2 hier.
Passwortanforderungen
Zurück zum Thema Passwörter also „the old way of auth“. Hier noch der LINK zur NIST Website SP 800-63B
Im Abschnitt 3.1.1.2 Password Verifiers geht es die Passwortanforderungen und einige Hinweise zu den Rahmenbedingungen bei der Verarbeitung von Passwörtern.
Ich werde mal versuchen die wesentlichen Punkte zu Passörtern zusammenzufassen.
- MUSS mindestens 8 Stellen haben.
- SOLLTE mindestens 15 Stellen haben.
- SOLLTE möglich sein mind. 64 stellige Kennwörter zu erstellen.
- SOLLTE ASCII Zeichensatz erlaubt sein.
- SOLLTE Unicode Zeichensatz erlaubt sein.
- KEINE Mischung von verschiedenen Zeichentypen auferlegen.
- KEINE periodische Änderung der Passwörter.
- KEINE Sicherheitsfragen für Zugänge um das Passwort zu umgehen.
- MUSS bei Änderung oder Erstellung gegen Passwortlisten (Blocklists) abgeprüft werden (bei Fund darf dieses Passwort nicht verwendet werden und muss ein neues definiert werden).
- MUSS eine Meldung (bei Blocklist-Fund)wiedergegeben werden warum das Passwort nicht verwendet werden kann.
- MUSS Limitierung der Anmeldeversuche integriert werden.
- MUSS bei Änderung und Erstellung über einen verschlüsselten Kanal übertragen werden.
- MUSS erlaubt sein einen Passwort-Manager zu verwenden und die Copy-Paste Funktion zu benutzen.
- MUSS das komplette Passwort verifiziert werden (in einigen Fällen werden Passwörter nur bis zu einer gewissen Stelle überprüft, alles was danach kommt wird abgeschnitten BSP1 und BSP2 ).
Strategie
Was ist nun die richtige Strategie um möglichst sichere Passwörter zu erstellen und diese dann auch anzuwenden? Hierzu gibt es ganz gelungenes Video des BSI auf Youtube.
In diesem Video werden die zwei Varianten dargestellt, sprich mind. 8 Stellen kryptisch und mit vier verschiedenen Zeichentypen oder eben möglichst lange und einfach also ein kompletter Satz mit zwei verschiedenen Zeichentypen.
BSP Variante 1:
rwq7qTkMaE#
Im Passwortmanager wird dieses Passwort bereits als „mäßig“ deklariert, wäre aber laut NIST in Ordnung.
BSP Variante 2:
Beim_Schreiben_dieses_Artikels_habe_ich2mal_pausiert
Selbst wenn die Unterstriche entfernt werden ist das Passwort immer noch erheblich sicherer als das kryptische Passwort aus Variante 1
FAZIT:
Bitte keine kurzen, einfachen Passwörter aus Passwortlisten wie Kaonashi verwenden, da es gute Möglichkeiten gibt lange und sichere Passwörter zu erstellen und noch eine Bitte: NUTZT EINEN PASSWORTMANAGER.
Hier noch ein kleiner Auszug aus der Kaonashi Passwortliste, genau die ersten 100 Einträge. Sollte jemand eines dieser Passwörter verwenden, rate ich dieses schleunigst zu ändern.
HINWEIS: in der Liste stehen 866 Mio Einträge!
123456 123456789 qwerty password 12345 qwerty123 1q2w3e DEFAULT 12345678 111111 1234567890 1234567 123123 000000 30media qwertyuiop 10pace 24crow 59trick 59mile 19weed abc123 66bob 123321 1q2w3e4r5t )ryan 654321 666666 1234 password1 qwe123 7777777 asdasd 123 iloveyou 1q2w3e4r 555555 1qaz2wsx 123qwe zxcvbnm 987654321 123456a 121212 qazwsx 112233 homelesspa dragon 159753 777777 1234qwer monkey 123123123 11111111 222222 qwerty1 asdfgh asdasd123 gfhjkm 123654 a123456 asdfghjkl yuantuo2012 123456q 999999 qwert zxcvbn 1111111 88888888 qwer1234 Password q1w2e3r4t5 11111 aaaaaa 123abc 0987654321 xxx 123456789a x4ivygA51F q1w2e3r4 qazwsxedc football 3rJs1la7qE 131313 samsung 789456123 1111 12345a 1234561 888888 333333 fuckyou 159357 789456 qweasdzxc 987654 master qweqwe 12344321 princess sunshine
In diesem Sinne hoffe ich etwas Licht in das Thema Passwortsicherheit gebracht zu haben und freue mich über Kommentare.