Die gute Nachricht für viele gleich zu Beginn: Die Empfehlung des NIST, Passwörter alle 90 Tage zu ändern, ist Geschichte. Und hoffentlich verschwindet dieser Zwang dann auch möglichst bald überall. Denn es gibt wohl keine Passwortregel, die für mehr Unmut, Frust und unproduktive Arbeitszeit bei Anwendern und Administratoren gesorgt hat, als die regelmäßige Aufforderung, doch bitte das Passwort zu ändern. Diese Empfehlung gehört zu denen, die Bill Burr, der Autor der früheren NIST-Empfehlungen, heute bereut.
Wie sieht ein sicheres Passwort aus?
Auch die Vorgabe, dass ein Passwort neben Groß- auch Kleinbuchstaben, Ziffern und Sonderzeichen enthalten sollte, gehört nicht mehr zur offiziellen Empfehlung in den USA. Stattdessen wird empfohlen ein langes Passwort aus verschiedenen Wörtern zu nutzen, die am besten durch Leerzeichen getrennt werden sollen. Denn mit Leerzeichen hätten viele Skripte, die Passwörter zu knacken versuchen, so ihre Probleme. Die Wörter sollen zumindest nicht alle in Wörterbüchern vorkommen, also absichtliche Rechtschreibfehler oder das Schreiben in einem Dialekt können hier helfen. Gerne darf es auch ein ganzer Satz sein, so lange er nicht aus einem Buch oder einem anderen öffentlichen Dokument abgeschrieben wurde.
Es ist zwar keine Frage eines sicheren Passworts, aber eine Frage der sicheren Authentifizierung: Nicht nur das NIST empfiehlt, dass im Idealfall ein zusätzlicher Faktor genutzt wird. Zum Beispiel ein berechneter oder ein per SMS verschickter Code oder man muss den Login-Versuch auf einem anderen Gerät bestätigen. Wichtig ist hier logischerweise, dass ein zweiter Kanal verwendet wird. Kombiniert man nun ein gutes Passwort mit so einem zweiten Faktor, dann ist die Sache schon recht sicher, aber natürlich niemals 100%ig sicher.
Reihen von Wörtern statt einem zufälligen Passwort ergeben als Empfehlung auch deutlich mehr Sinn – zumindest, wenn man sich ein wenig mit dem Thema beschäftigen musste. Denn diese zufälligen Passwörter haben einen entscheidenden Nachteil: Man kann sich nur eine begrenzte Zahl dieser Passwörter merken, wenn überhaupt auch nur eines. Während die einen dann Passwort-Manager einsetzen, greifen andere zum Post-It, das im schlimmsten Fall direkt an das Display gehängt werden, andere verstecken es wenigstens noch unter der Tastatur. Das ewige Dilemma mit Passwörtern: Einerseits soll man sie nicht so einfach erraten oder per Brute-Force-Attacke knacken können, andererseits soll der Nutzer sie sich auch merken können (wenn er denn keinen Passwort-Manager einsetzt).
Passwortsicherheit bei Anbietern
Brute-Force-Attacken sind ein Stichwort, das zur Untersuchung von Dashlane führt. Der Anbieter eines Passwortmanagers hat sich 43 Websites für Verbraucher und 11 Sites, die sich an Unternehmen richten, angeschaut. Getestet wurde, wie es dort mit der Passwortsicherheit gehandhabt wird. Dabei wurden fünf Kriterien abgefragt:
- Passwortlänge: Müssen Passwörter mindestens acht Zeichen lang sein?
- Komplexität: Werden Passwörter abgewiesen, die nur aus einem wiederholten Zeichen bestehen?
- Anzeige der Passwortstärke: Gibt es eine optische Anzeige zur Stärke des gewählten Passworts, zum Beispiel über entsprechend farbige Balken?
- Brute-Force-Schutz: Gibt es eine zusätzliche Barriere, spätestens nach 10 falschen Passworteingaben?
- Zwei-Faktor-Authentifizierung: Wird eine solche angeboten?
Wird im Test eine Frage mit „Ja“ beantwortet, dann gibt es einen Punkt, bei einem „Nein“ eben keinen Punkt. Daraus ergibt sich eine maximale Punktzahl von fünf Punkten.
Um es kurz zu machen: Das Ergebnis ist erschreckend, vor allem angesichts der vielen Passwort-Leaks, die es in den letzten Jahren gab. Gerade mal drei der insgesamt 44 getestet Websites und Dienste erreichten die volle Punktzahl: GoDaddy, Stripe und QuickBooks. Immerhin noch vier Punkte schafften unter anderem Apple, Microsoft, Paypal, Tumblr und Basecamp. Mit drei von fünf Punkten schaffte Otto als einzige deutsche Website im Test nicht durchzufallen, gleichauf mit Google, Facebook, Slack, WordPress, GitHub und anderen. Komplett durchgefallen sind bei diesem Test Netflix, Pandora, Spotify, Uber und Zalando.
Insgesamt ist das Ergebnis eher unschön, schließlich sind die fünf gewählten Kriterien keine exotischen Sicherheitsfeatures, es handelt sich hier um teilweise mehrere Jahrzehnte alte Empfehlungen zur Passwortsicherheit, die von den getesteten Sites und Apps einfach ignoriert werden. Erschreckend ist auch, dass es heute noch Dienste gibt, die es ihren Nutzern erlauben „Passwörter“ zu wählen, die aus der simplen Wiederholung eines einzelnen Zeichens bestehen, darunter durchaus große Dienste, bei denen nicht selten auch sensiblere Daten abgelegt werden wie Amazon, Google oder Dropbox.
Wir dürfen also davon ausgehen, dass uns das Thema Passwörter und Passwortsicherheit noch eine ganze Weile beschäftigen wird. Wenn so viele Unternehmen bereits bei so grundlegenden Anforderungen an sichere Passwörter durchfallen, dann will man sich nicht vorstellen, was bei härteren Testbedingungen und einem größer angelegten Test heraus kommen könnte. So gibt es heute immer noch Dienste, die Nutzerpasswörter im Klartext speichern.
Artikelbild von HypnoArt via Pixabay
