Getty Images
Das National Institute of Standards and Technology (NIST), das Bundesorgan, das Technologiestandards für Regierungsbehörden, Normungsorganisationen und private Unternehmen festlegt, hat vorgeschlagen, einige der lästigsten und unsinnigsten Passwortanforderungen zu verbieten. Die wichtigsten davon sind: obligatorische Zurücksetzungen, vorgeschriebene oder eingeschränkte Verwendung bestimmter Zeichen und die Verwendung von Sicherheitsfragen.
Die Wahl sicherer Passwörter und deren sichere Aufbewahrung ist einer der schwierigsten Aspekte einer guten Cybersicherheitsstrategie. Noch schwieriger ist die Einhaltung der Passwortregeln, die von Arbeitgebern, Bundesbehörden und Anbietern von Online-Diensten auferlegt werden. Häufig untergraben die Regeln – angeblich zur Verbesserung der Sicherheitshygiene – diese tatsächlich. Und dennoch setzen die namenlosen Regelmacher die Anforderungen trotzdem durch.
Hört bitte mit dem Wahnsinn auf!
Letzte Woche veröffentlichte NIST SP 800-63-4die neueste Version der Digital Identity Guidelines. Das Dokument ist rund 35.000 Wörter lang und voller Fachjargon und bürokratischer Begriffe. Es ist fast unmöglich, es vollständig zu lesen und ebenso schwer zu verstehen. Es legt sowohl die technischen Anforderungen als auch die empfohlenen Best Practices zur Bestimmung der Gültigkeit von Methoden fest, die zur Authentifizierung digitaler Identitäten im Internet verwendet werden. Organisationen, die online mit der Bundesregierung interagieren, müssen diese einhalten.
Ein Abschnitt, der sich mit Passwörtern beschäftigt, enthält eine große Portion dringend benötigter, vernünftiger Vorgehensweisen, die gängige Richtlinien in Frage stellen. Ein Beispiel: Die neuen Regeln verbieten die Anforderung, dass Endbenutzer ihre Passwörter regelmäßig ändern müssen. Diese Anforderung entstand vor Jahrzehnten, als die Passwortsicherheit noch nicht ausreichend verstanden wurde und die Leute häufig gebräuchliche Namen, Wörter aus dem Wörterbuch und andere Geheimnisse wählten, die leicht zu erraten waren.
Seitdem verlangen die meisten Dienste die Verwendung stärkerer Passwörter, die aus zufällig generierten Zeichen oder Phrasen bestehen. Wenn Passwörter richtig gewählt werden, kann die Anforderung, sie regelmäßig zu ändern, normalerweise alle ein bis drei Monate, die Sicherheit sogar gefährden, da die zusätzliche Belastung schwächere Passwörter fördert, die für die Benutzer einfacher festzulegen und zu merken sind.
Eine weitere Anforderung, die oft mehr schadet als nützt, ist die vorgeschriebene Verwendung bestimmter Zeichen, beispielsweise mindestens einer Zahl, eines Sonderzeichens und eines Groß- und Kleinbuchstabens. Wenn Passwörter ausreichend lang und zufällig sind, bringt es keinen Vorteil, die Verwendung bestimmter Zeichen vorzuschreiben oder einzuschränken. Und wiederum können Regeln für die Zusammensetzung tatsächlich dazu führen, dass Benutzer schwächere Passwörter wählen.
In den neuesten NIST-Richtlinien heißt es nun:
- Prüfer und CSPs DÜRFEN KEINE anderen Regeln für die Zusammensetzung von Passwörtern festlegen (z. B. Mischungen verschiedener Zeichentypen verlangen) und
- Prüfer und CSPs DÜRFEN von Benutzern NICHT verlangen, ihre Passwörter regelmäßig zu ändern. Prüfer MÜSSEN jedoch eine Änderung erzwingen, wenn es Hinweise auf eine Kompromittierung des Authentifikators gibt.
(„Verifier“ ist im Bürokratenjargon die Entität, die die Identität eines Kontoinhabers überprüft, indem sie dessen Authentifizierungsdaten bestätigt. „CSPs“ ist die Abkürzung für Credential Service Provider und ist eine vertrauenswürdige Entität, die dem Kontoinhaber Authentifikatoren zuweist oder für ihn registriert.)
In früheren Versionen der Richtlinien wurde in einigen Regeln der Ausdruck „sollte nicht“ verwendet, was bedeutet, dass die Vorgehensweise nicht als bewährte Vorgehensweise empfohlen wird. „Sollte nicht“ bedeutet dagegen, dass die Vorgehensweise verboten sein muss, damit eine Organisation die Vorschriften einhält.
Das neueste Dokument enthält mehrere andere sinnvolle Vorgehensweisen, darunter:
- Prüfer und CSPs SOLL erfordern Passwörter mit mindestens acht Zeichen Länge und SOLLEN erfordern, dass Passwörter mindestens 15 Zeichen lang sind.
- Prüfer und CSPs SOLLEN Erlauben Sie eine maximale Passwortlänge von mindestens 64 Zeichen.
- Prüfer und CSPs SOLLEN akzeptiert alle druckbaren ASCII-Zeichen (RFC20) und das Leerzeichen in Passwörtern.
- Prüfer und CSPs SOLLEN akzeptieren Unicode-Zeichen (ISO/ISC 10646) in Passwörtern. Jeder Unicode-Codepunkt SOLL wird bei der Auswertung der Kennwortlänge als einzelnes Zeichen gezählt.
- Prüfer und CSPs DARF NICHT Legen Sie andere Regeln für die Zusammensetzung von Passwörtern fest (z. B. das Erfordernis einer Mischung verschiedener Zeichentypen).
- Prüfer und CSPs DARF NICHT verlangen, dass Benutzer ihre Passwörter regelmäßig ändern. Allerdings SOLL Erzwingen Sie eine Änderung, wenn es Hinweise auf eine Kompromittierung des Authentifikators gibt.
- Prüfer und CSPs DARF NICHT Ermöglichen Sie dem Abonnenten, einen Hinweis zu speichern, auf den ein nicht authentifizierter Antragsteller zugreifen kann.
- Prüfer und CSPs DARF NICHT Fordern Sie Abonnenten auf, bei der Auswahl von Passwörtern eine wissensbasierte Authentifizierung (KBA) (z. B. „Wie hieß Ihr erstes Haustier?“) oder Sicherheitsfragen zu verwenden.
- Prüfer SOLL Überprüfen Sie das gesamte übermittelte Passwort (d. h. kürzen Sie es nicht).
Kritiker haben jahrelang darauf hingewiesen, dass viele allgemein verbreitete Passwortregeln Unsinn und Schaden anrichten. Und dennoch halten Banken, Online-Dienste und Regierungsbehörden weitgehend an ihnen fest. Die neuen Richtlinien sind, sollten sie in Kraft treten, zwar nicht allgemein verbindlich, könnten aber überzeugende Argumente dafür liefern, diesen Unsinn abzuschaffen.
NIST lädt dazu ein, Kommentare zu den Richtlinien bis zum 7. Oktober um 23:59 Uhr Eastern Time an dig-comments@nist.gov zu senden.
