Sicherheitsregeln für neue Passwörter sind im Grunde nutzlos
Es ist an der Zeit, eine Lanze für Passwörter zu brechen. Denn in Sachen Gehirnjogging und Gedächtnistraining waren die Zeichenkolonnen aus Zahlen, Sonderzeichen und großen und kleinen Buchstaben schlicht eine Wucht. Je komplizierter, desto besser, ergo sicherer – und anerkennender die Blicke der Kollegen bei der spickzettelfreien Tastatureingabe.
Und jetzt das: Bill Burr, einer der Autoren des Regelwerks für Passwörter des National Institute of Standards and Technology (NIST) hat in einem Interview gesagt, dass er die Empfehlung, Passwörter durch die Verwendung von Sonderzeichen, Groß- und Kleinbuchstaben sicherer zu machen, mittlerweile bereut.
Wie man es besser nicht macht
Zugegeben: Viel genützt haben die Empfehlungen nicht. So hat beispielsweise das Hasso-Plattner-Institut Ende 2016 eine Liste der zehn meistgenutzten Passwörter auf Weseiten mit .de-Domain veröffentlicht. Die Top-Ten ist ein eindrucksvolles Beispiel für ein „Wie man es besser nicht macht“ und wird angeführt auf den ersten drei Plätzen von „hallo“, „passwort“ und „hallo123“.
Das Fazit der Sicherheitsexperten fällt entsprechend nüchtern aus. Viele der eingesetzten Passwörter sind viel zu einfach zu erraten und die mit den Passwörtern generierten Hash-Werte lassen sich schnell knacken. Die Wirkung der Empfehlung, die Passwort-Sicherheit durch regelmäßiges Ändern des Passworts zu erhöhen, hält sich in Grenzen, wenn nach vier Wochen „hallo123“ das vormals gewählte „hallo“ ablöst.
Auf keinen Fall in Sicherheit wiegen
Die überarbeiteten Richtlinien des NIST erklären folgerichtig einige der bisherigen Tipps als wirkungslos und empfehlen deshalb, gleich bei der Passwort-Eingabe das eingegebene Passwort gegen eine Liste mit bekannten, kompromittierten Passwörtern abzugleichen. Taucht das Passwort auf einer solchen Liste auf, soll es nicht akzeptiert werden.
Eine weitere Empfehlung für die gewählte Passwort-Phrase: sie sollte nicht im Wörterbuch stehen.
Eines allerdings sollten die neuen Richtlinien Unternehmen und Anwender auf keinen Fall: sich mit Passwörtern in Sicherheit wiegen. Denn für den Schutz digitaler Identitäten und Transaktionen sind Passwörter völlig ungeeignet. Laut dem „2017 Data Breach Investigations Report“ von Verizon nutzten 81 % der Hackerangriffe gestohlene und/oder zu schwache Passwörter.
Mehr Sicherheit durch Multi-Faktor-Authentifizierung
Digitale Identitäten und digitale Transaktionen durchdringen immer mehr den privaten und den Alltag in Unternehmen. Cloud-Services, Online-Handel, Online-Banking, digitales Unterzeichnen von Verträgen, vernetzte Fahrzeuge oder das Smart Home – die Liste lässt sich problemlos fortsetzen. Der Schutz von personenbezogenen Daten und der sichere Zugriff darauf wird zu einer immer größeren Herausforderung.
Den wachsenden Anforderungen an den Datenschutz sind Passwörter nicht gewachsen, egal nach welchen Regeln sie ausgewählt werden. Ihre Zeit als wirksame Schutzmaßnahme ist abgelaufen. An ihre Stelle sollten deshalb geeignete technische Maßnahmen wie die starke Multi-Faktor-Authentifizierung treten.
Die lautesten Rufe nach starker Authentifizierung kommen daher zurecht von höchst offizieller Stelle und sollten tunlichst nicht überhört werden. Neue gesetzlichen Regularien wie die EU-Datenschutzgrundverordnung (EU-DSGVO), die PSD2 oder das IT-Sicherheitsgesetz verlangen starke Authentifizierung für immer mehr Anwendungsfälle, wie den sicheren Zugriff auf Cloud-Services und personenbezogene Daten.
Und Passwörter? Fürs Gehirnjogging sind sie nach wie vor spitze. Bei ihrer Erstellung darf viel Kreativität und Fantasie bewiesen werden und das Auswendiglernen ist eine schöne Fitnessübung fürs Gehirn. Mehr aber auch nicht. In Sachen digitaler Zugriffsschutz gehört die Zukunft der Multi-Faktor-Authentifizierung.