Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Benutzerfreundliche Passwortrichtlinien – eine Gratwanderung zwischen Akzeptanz und Sicherheit?
Passwortrichtlinien sind ein wichtiger Bestandteil der Sicherheitsarchitektur eines Unternehmens. Ziel ist es, schwache Passwörter zu verhindern. Mit Anforderungen an die Mindestlänge, Komplexität, und ein regelmäßiges Austauschen des Passworts soll es Angreifern so schwer wie möglich gemacht werden, Passwörter durch Brute-Force- oder Wörterbuch-Angriffe zu knacken.
Aber was nützen solche Anforderungen, wenn bestimmte Verhaltensmuster von Nutzern aus einem theoretisch sicheren Kennwort ein offenes Geheimnis machen? Dieser Blogbeitrag diskutiert, welche Mindestanforderungen an Passwörter sinnvoll und alltagstauglich sind.
Passwortstärke und Entropie
Natürlich wissen Systemadministratoren um die Wichtigkeit starker Passwörter. Ein einziges schwaches Passwort im Active Directory eines Unternehmens kann das Einfallstor für Erpressungsversuche, Spionage oder den Diebstahl von sensiblen personenbezogenen Daten sein und große finanzielle Schäden und Imageverluste bedeuten. Aber was ist eigentlich ein starkes Passwort?
Die mathematische Stärke eines Passworts kann mit der Entropie quantifiziert werden. Der Entropiewert wird üblicherweise in Bit angegeben und beziffert, wie viele Versuche nötig sind, um ein Passwort per Brute-Force-Methode (dem einfachen Durchprobieren aller Möglichkeiten) mit Sicherheit zu knacken. Dabei gilt, dass die Entropie umso höher ist, je länger das Kennwort ist – also je größer die Passwortlänge ist – und je umfangreicher der Zeichensatz ist, aus dem es gebildet wird – also je höher die Komplexität ist. Mehr zur Entropie und wie sie berechnet wird, erfahren Sie in unserem Blogbeitrag Passwort-Entropie als Maß für die Passwortsicherheit von Passwörtern und Passphrasen.
Komplexität versus Länge
In seinen Empfehlungen zum Erstellen sicherer Passwörter für Verbraucher schreibt das BSI: Ein starkes Passwort kann „kürzer und komplex“ oder „lang und weniger komplex“ sein. Hat ein Administrator also die freie Wahl, ob er bei den Passwortrichtlinien auf Komplexität oder auf Länge setzt? Betrachten wir das einmal anhand einiger Beispiele.
Die folgende Tabelle zeigt, wie sich unterschiedliche Anforderungen zu Länge und Komplexität auf die Brute-Force-Zeit mit einem High-End-PC auswirken. Dabei muss auch beachtet werden, dass es sich hierbei um die MAXIMALE Dauer handelt. Moderne Brute-Force-Algorithmen kommen oftmals früher ans Ziel!
Man sieht: Bei einer geringen Passwortlänge von unter acht Zeichen spielt es beinahe keine Rolle, wie komplex der Zeichenpool ist. Für Hacker bedeutet das nur einen vertretbaren zeitlichen Mehraufwand. Vergleichen wir aber ein kurzes Kennwort mit hoher Komplexität mit einem langen Kennwort von geringer Komplexität, sieht das Ergebnis schon anders aus. Von der Passwortstärke her gedacht ist es also keineswegs egal, ob ein Passwort kurz und komplex oder lang und weniger komplex ist. Länge schlägt eindeutig Komplexität. Klar, dass lange Passwörter von hoher Komplexität einem Angreifer die größten Steine in den Weg legen. Aber wer kann sich so etwas merken? Und damit wären wir beim nächsten Kriterium, das beim Erstellen von Passwortrichtlinien eine Rolle spielen sollte, der
Passwortpsychologie
Denn die Mathematik ist die eine Seite, die menschliche Natur die andere. Erfahrungen zeigen: je strenger die Passwortrichtlinien sind, desto eher verfallen Benutzer in Verhaltensweisen, die das Ziel hoher Passwortsicherheit konterkarieren. Wenn Nutzer beispielsweise aufgefordert werden, Zahlen in ihr Passwort zu integrieren, machen sie dies vorzugsweise am Anfang oder am Ende der Zeichenkette. Menschliche Vorlieben reduzieren also den scheinbaren Sicherheitsgewinn, indem sie das Erraten der Zeichenabfolge erleichtern.
Bereits 1999 ergab eine Umfrage der Open University (UK) und der Ruhr-Universität Bochum („Users Are Not The Enemy“), dass strikte Passwortrichtlinien und die Notwendigkeit, sich viele unterschiedliche Passwörter zu merken, zu Verhaltensweisen führten, die die Sicherheit der Passwörter deutlich schwächten. So bildeten viele Nutzer ihre Passwörter immer nach ähnlichen Prinzipien. Die Hälfte der Befragten erstellten neue Kennwörter, indem sie nur einzelne Elemente variierten, (Name1, Name2, Name3 etc.). Häufig wurden Passwörter auch schriftlich festgehalten – der berühmte Zettel unter der Tastatur.
Kernproblem dabei ist weniger die mangelnde Kreativität beim Ausdenken von Passwörtern, sondern der Umstand, dass man sich an diese auch erinnern muss. Und das für viele unterschiedliche Accounts, für Twitter, Instagram, LinkedIn, den Firmenaccount, die Lieblings-Webshops … Da liegt es ja quasi auf der Hand, sich nicht immer etwas völlig anderes auszudenken. Zumal, wenn die Passwortrichtlinien auch noch fordern, all die Kennwörter regelmäßig auszutauschen.
Beliebt, um dem Gedächtnis auf die Sprünge zu helfen, sind bei Benutzern auch bestimmte Tippmuster auf der Tastatur, z. B. QWERTZ1! Das Problem dabei: Hacker haben auch schon davon gehört. Und neben Brute-Force Attacken gibt es ja auch noch Wörterbuch-Angriffe, die nicht nur, wie der Name suggeriert, Wortlisten abarbeiten, sondern auch beliebte Muster durchspielen und auf Basis bestimmter Regeln (Ersetzen, Anfügen, Kombinieren etc.) gängige Verfahren imitieren, wie Menschen Passwörter bilden. Je stärker Nutzer also durch bestimmte Passwortrichtlinien zum Rückgriff auf solche Muster „motiviert“ werden, desto weniger können Systemadministratoren auf die rechnerische Stärke der erstellten Passwörter vertrauen.
Damit Passwortrichtlinien tatsächlich zu vielfältigen, starken Passwörtern führen, sollten Systemadministratoren also die „menschlichen Schwächen“ unbedingt einbeziehen.
Der goldene Mittelweg zu starken Passwörtern
Wie wir gesehen haben, ist die Passwortlänge wichtiger als die Passwortkomplexität. Gleichzeitig ist für Nutzer bei der Bildung von Kennwörtern deren Erinnerungswert ausschlaggebend. Passphrasen decken diese beide Kriterien ab, denn trotz ihrer Länge sind sie vergleichsweise leicht zu merken. Und eine Passphrase, die aus drei willkürlich gewählten Wörtern und mindestens 20 Zeichen besteht beschäftigt auch Supercomputer einige tausend Jahre.
In manchen Situationen allerdings kann das Eintippen von 20 und mehr Zeichen sich als wenig nutzerfreundlich herausstellen. Bei Terminals in der Fabrik, in der Kantine oder dem Pausenraum zum Beispiel muss ein Login schnell gehen und ggf. sogar mit Handschuhen zu erledigen sein. Hier gilt es, abzuwägen, welche Accounts abgesichert werden sollen und ob eine Mindestlänge von 15 oder mehr Zeichen tatsächlich notwendig ist.
Ähnliches gilt für den automatischen Ablauf der Passwortgültigkeit bzw. die für Notwendigkeit, regelmäßig neue Passwörter zu vergeben. Viele Unternehmen setzen immer noch auf feste Intervalle von 90 bis 180 Tagen, obwohl es klare Hinweise darauf gibt, dass damit die Passwortsicherheit keineswegs steigt, da neue Passwörter dann durch einfache Variationen des alten Passworts gebildet werden. Mehr noch: Im Bewusstsein, dass das Wort jeden Monat geändert (und neu erinnert) werden muss, neigen Nutzer dazu, schon beim ersten Anlegen eines Passworts auf größtmögliche Einfachheit zu setzen. Das NCSC (National Cyber Security Centre / UK) kommt daher sogar zu dem Schluss, dass die Verwundbarkeit von Accounts steigt, je öfter Nutzer zum Ändern der Passwörter gezwungen werden. Mehr zum Thema lesen Sie in unserem Blogbeitrag Den Ablauf von Passwörtern sinnvoll gestalten.
Empfehlungen für hohe Passwortsicherheit
Benutzerfreundliche Passwortrichtlinien und Sicherheit zu vereinbaren muss also keine Gratwanderung sein, wenn Systemadministratoren vor allem auf ein Längenminimum und Passphrasen setzen. Ein Minimum von 20 Zeichen bietet für privilegierte Accounts schon einen guten Schutz, für Standard-Accounts genügen in der Regel 15 Zeichen. Regelmäßige Ablaufdaten erhöhen dagegen die Passwortsicherheit nicht und verursachen stattdessen Kopfschmerzen bei Nutzern. Apropos Kopfschmerzen: Auch klare Rückmeldungen bei der Passworterstellung unterstützen Ihre Benutzer und führen zu sichereren Passwörtern. Mit dem Authentication Client in Specops Password Policy beispielsweise erhalten Nutzer detailliertes Feedback dazu, was sie verbessern können, wenn das erstellte Kennwort zu schwach ist.
Sie sollten aber bedenken, dass Passwortrichtlinien zwar wichtig, jedoch nicht das einzige Kriterium für sichere Passwörter sind. So sollte die Passwortsicherheit in Ihrem Active Directory regelmäßig bewertet und auf kompromittierte Passwörter überprüft werden, z. B. mithilfe des kostenlosen Specops Password Auditors. Dieser scannt die Kennwörter der Benutzerkonten anhand einer Liste von über 950 Millionen bereits kompromittierten Passwörtern und findet mehrfach verwendete oder schwache Passwörter. Führen Sie darüber hinaus möglichst regelmäßige Awareness-Schulungen für Ihre Mitarbeiter durch, um sie z. B. dafür zu sensibilisieren, welches Sicherheitsrisiko mehrfach genutzte Passwörter in privaten und geschäftlichen Accounts sind. Machen Sie klar: Mit jedem gehackten Instagram-Kennwort, das auch für den Business-Account verwendet wird, stehen Angreifern die Türen ins Unternehmensnetz weit offen.
Autor
Torsten Krüger
Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.
(Zuletzt aktualisiert am 06/11/2023)