Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

[Mornsgrans]

Heute bei Heise:

Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

Viele der altbekannten Regeln für sichere Passwörter, die in den verganenen Jahren durch Admins und Sicherheits-Richtlinien propagiert wurden, erzeugen keine oder nur wenig zusätzliche Sicherheit. Das National Institute of Standards and Technology (NIST) in den USA hat deswegen gerade neue Regeln für Passwörter finalisiert.
...

Zum nächsten Absatz:
Einiges über gecrackte Passwörter, die im Internet veröffentlicht wurden, hatten wir in diesem Thread "andiskutiert".

Heise schreibt weiter:

Eine der Konsequenzen daraus ist, dass die überarbeitete NIST-Richtlinie nun empfiehlt, Passwort-Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und diese nicht zu erlauben. Das kann man etwa mit Webdiensten wie Troy Hunts Pwned Passwords bewerkstelligen. Im Allgemeinen empfiehlt die NIST nun, lange Passphrasen zu verwenden. Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt.

Wie Heise auch schrieb, gab es ja immer wieder Diskussionen, ob und in welchen Abständen Passwörter geändert werden sollen oder müssen. Die alte NIST-Empfehlung, dieses regelmäßig durchzuführen, wurde inzwischen eingestampft. Aber man sollte es unbedingt ändern, wenn man erfährt, dass sie kompromottiert wurden.

Auch die Süddeutsche Zeitung hat sich bereits Mitte Juli mit diesem Thema befasst (AD-Blocker deaktivieren).

 

[Schwartz]

Also doch wieder so wie es xkcd mal empfohlen hatte. Es gibt immer wieder hitzige Debatten zum Thema, aber ich denke auch dass es auf die Bits ankommt. Wenn du ein 30 Zeichen Passwort hast, dürfen da sogar ein paar Sachen aus dem Wörterbuch drin sein. Sogar an einem Passwort, das sich aus Wörterbuch-Einträgen zusammensetzt und nur 1 oder 2 Sonderzeichen eingestreut hat, würde sich ein Wörterbuch-Angriff die Zähne ausbeissen. Da man für jeden Login ein anderes Passwort nutzen sollte sehe ich aber denn Sinn nicht mehr sich das alles zu merken, somit sind Eselsbrücken und Lesbarkeit dann auch wieder egal. Lange Passwörter u. Zeichensalat sind mit KeePass z.B. komfortabel zu machen.

Die Wahrscheinlichkeit, dass so ein Passwort altmodisch gecrackt wird ist sowieso verschwindend gering im Vergleich zu den vielen anderen Schwachstellen: Social Engineering, schwache Protokolle, gecrackte Datenbanken (siehe vorheriger Thread), kompromittierte Computer, unsichere Onlinedienste, dann doch wieder 'Convenience' usw. Oft wird gerade für die Laien das Thema Passwortstärke überfokussiert während die anderen ausgeblendet werden.

Interessant dass bekannte Passwörter nicht mehr genommen werde sollen. Somit sollte die Zahl der noch wirksamen immer weiter schrumpfen bis wir irgendwann in ferner Zukunft alle beim Zeichensalat angekommen sind. Parallelen zum Thema Antibiotika rein zufällig.

 

[grimsrud]

Ein wirklich interessanter Artikel darüber, wie Cracker vorgehen:
https://arstechnica.com/information...ckers-make-minced-meat-out-of-your-passwords/

Was man aus dem Artikel lernen kann:
https://arstechnica.com/information...t-of-your-passwords/?comments=1&post=24582609

"Those takeaways again: for passwords, clever is stupid. The only thing that works is random. Humans can't do random, but computers can. Use a computer, a secure password manager, to manage your passwords. Use a cryptographer-approved method of generating the one passphrase that you need to remember -- a method that works to your strengths as a human."

 

[LZ_]

naja die HIBP-Portale legen einem ja die direkte Rutsche zum digitalen Selbstmord....

Passwörter sind so sicher wie die Eingabemaske bzw. der Dienst/Gerät dahinter.