Über 10 Jahre lang falsche Passwort Empfehlungen – wie jetzt?

16. August 2017

Über 10 Jahre lang haben IT-Experten falsche Passwort-Regeln empfohlen. Groß/klein-Buchstaben, Ziffern, Sonderzeichen – ist das alles nötig und können sich die Benutzer das merken? Neuere Empfehlungen und die Erfahrung zeigen, dass sichere Passwörter auch einfacher zu merken sind.

Die alten Passwort-Regeln

Immer noch werden falsche Empfehlungen gegeben (auch von Sicherheitsexperten oder solchen, die vorgeben welche zu sein), die sich so oder so ähnlich anhören:

Ein Passwort sollte…

  • aus Groß/Kleinschreibung bestehen
  • Ziffern enthalten
  • Sonderzeichen enthalten
  • zufällig sein
  • mindestens 8 Zeichen lang sein
  • oft gewechselt werden

Das ist (großteils) einfach falsch! Vergesst diese Regeln! Das hat mittlerweile auch das NIST (der Herausgeber dieser Regeln) eingesehen [1].

Aus diesen Regeln kommen dann oft Passwörter wie dieses heraus: “!xFD980y”. Dieses ist für einen Computer verhältnismäßig einfach zu knacken, für einen Menschen aber schwierig zu merken (s.u.: Hintergrund). Daher wird ein derartiges Passwort von Benutzern – wenn es sich einmal gemerkt wurde (oder aufgeschrieben, z.B. mit einem Post-It auf dem Bildschirm) – überall verwendet und selten getauscht.

Neue Passwort-Regeln

Die wichtigste Regel, die unsere Facebook-Community schon kennt:

Bild mit Text der Passwortregel - Länge schlägt Komplexität

Länge ist tatsächlich die wichtigste Eigenschaft eines Passworts, mindestens 12 Zeichen sind empfehlenswert. Um ein derart langes Passwort zu genieren, empfehlen wir 4 – 6 zufällige Wörter oder Phrasen. Umgangssprache ist willkommen, da sie sich weniger oft in Wörterbüchern findet.

  • Mindestens 12 Zeichen – 16 sind empfohlen
  • Wörter oder Phrasen sind in Ordnung, solange es sich um zufällige Wörter handelt, z.B.: “BestandteilKilogrammklettertStrahlung”
  • Das Passwort mit Zahlen oder Sonderzeichen nach Belieben verfeinern (kein Muss, aber ein gutes Kann!), z.B. “BestandteilKilogrammklettertStrahlung17”
  • Vollständig zu vermeiden sind Standardpasswörter wie 123456 oder Ähnliches
  • Passwort-Recycling (alte Passwörter wieder verwenden) oder Reusage (Passwörter an anderen Stellen wieder verwenden) ist zu vermeiden
  • Regelmäßig informieren, ob es ein Passwort-Leak gab, z.B. bei https://haveibeenpwned.com – dann auf jeden Fall Passwort ändern
  • Einzelne Wörter sind zu vermeiden

Hintergrund

Zunächst muss man wissen wie die meisten Passwörter gebrochen werden. Dies passiert grundsätzlich auf 3 Wegen:

  1. Online-Bruteforcing
  2. Offline-Cracking
  3. Andere Wege wie z.B. Keylogger, Social Engineering oder Interception

Beim Online-Bruteforcing wird bei einem Service (z.B. facebook-Anmeldung) einfach versucht, ein Passwort zu erraten. Entweder mittels Passwort-Listen (z.B. die gängisten 1000 Passwörter), Wörterbüchern oder mittels Brute-Force (sämtliche Kombinationen). Da die meisten Systeme die Anmeldeversuche limitieren oder anderweitig begrenzen, ist diese Methode nur mit sehr einfachen Passwörtern (“123456”) effektiv und erfolgreich. Hier ist nur wichtig, dass sich das Passwort nicht auf den Listen der häufigsten Passwörter befindet.

Beim Offline-Cracking hatte ein Angreifer durch Sicherheitslücken Zugriff auf eine Datenbank mit Login-Informationen. Die Passwörter sind jedoch fast immer verschlüsselt gespeichert (wenn nicht, ist die Komplexität oder Länge des Passworts sowieso egal – dann ist wichtig, dass dasselbe Passwort an keiner anderen Stelle verwendet wird) und müssen geknackt werden. Dafür setzt man auf leistungsstarke Cluster aus GPUs. Diese können mit mehreren Millionen Versuchen pro Sekunde probieren, aus dem verschlüsselten Hash ein Klartext-Passwort zu ermitteln. Je länger das Passwort ist, desto unwahrscheinlicher ist es, dass diese Methode Erfolg hat. Für das Passwort “BestandteilKilogrammklettertStrahlung17” würde auch eine leistungsstarke Maschine mehrere tausend Jahre (je nach Methode und Verschlüsselung bzw. Hashing) benötigen.

Bei Keyloggern, Social Engineering oder Interception wird das Passwort direkt erfragt. Hier ist die Komplexität und Länge auch hinfällig.