Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Passphrasen statt Passwörter – warum? | Best-Practice Guide für Passphrasen
Eine Passphrase ist ein Kennwort, welches aus zufällig gewählten, ganzen Wörtern (normalerweise drei oder vier) besteht. Warum ist es dann wichtig, zwischen Passwörtern und Passphrasen zu unterscheiden? Tatsächlich geht es um mehr als nur um Semantik – es gibt echte Vorteile, wenn Sie in Ihren Passwortrichtlinien auch die Vergabe von Passphrasen fördern. Im Folgenden erfahren Sie, warum Passphrasen sicherer sind, wie Sie Ihre User bei der Erstellung effektiver Phrasen unterstützen und Ihre Passwortrichtlinien verbessern können.
Der Unterschied zwischen Passphrasen und Passwörtern
Laut Verizon erfolgt bei 86 % von Cyberangriffen der Erstzugang über kompromittierte Zugangsdaten. Ein einfacher Weg, um alle Passwörter im Active Directory Ihres Unternehmens zu verstärken, besteht darin, diese länger zu machen. Auf diese Weise erhöht sich die Entropie der Passwörter und es wird schwieriger, sie durch Brute-Force- und Hybrid-Dictionary-Angriffe zu erraten. Wie die folgende Tabelle zeigt, ist es bei Kennwörtern mit Komplexitätsanforderungen und einem weiterhin gängigen Hash-Algorithmus (MD5) extrem Zeit (oder Ressourcenaufwändig) diese mit puren Brute-Force-Techniken zu erraten, wenn sie mehr als 15 Zeichen lang sind.
Rein rechnerisch gilt: Je länger das Passwort, desto sicherer ist es. Aus diesem Grund empfehlen wir, dass das Passwort eines Endbenutzers immer mehr als 15 Zeichen haben sollte. ABER: Längere Zeichenfolgen sind für den Endbenutzer auch schwieriger zu merken. An dieser Stelle kommen Passphrasen ins Spiel – sie sind einfach viel leichter zu merken, selbst wenn sie aus mehr als 15-20 Zeichen bestehen.
Was würden Sie sich in zwei Stunden noch merken können: die folgende, 21 Zeichen lange Passphrase oder das 8 Zeichen lange Passwort? Dieses Konzept lässt sich jedem Endbenutzer, unabhängig von seinen IT-technischen Kenntnissen, leicht vermitteln.
Kühlschrank-Elephant-Telefon
84 „fhg#l
Ein gängiges Missverständnis ist weiterhin, dass in den Köpfen vieler Nutzer Komplexität = mehr Sicherheit bedeutet. Ein Hauptproblem bei Passwörtern ist, dass sich Unternehmen bei der Definition von Passwortrichtlinien zu sehr auf die Komplexität konzentriert haben, was zu Lasten der Länge geht.
Die Krux mit der Komplexität
Eigentlich sollte die Komplexität die Einzigartigkeit von Kennwörtern erhöhen, aber das Nutzerverhalten hat eher zu einer Konvergenz als zu einer Divergenz der Kennwörter geführt – sie werden immer ähnlicher, weil immer wieder die gleichen Muster bei der Erstellung von Kennwörtern verwendet werden. Das bedeutet, dass die Menschen Wege gefunden haben, um mit den Komplexitätsanforderungen fertig zu werden, indem sie in der Regel auf die gleichen vertrauten Muster zurückgreifen:
- Ein gebräuchliches Wort aus dem Wörterbuch oder Tastatureingaben als Basisbegriff
- Großschreibung des ersten Buchstabens
- Zahl(en) und ein Sonderzeichen am Ende
- Übliche Zeichensubstitutionen aus 1337-Speak oder z.B. @ für a, oder 0 für o
Mit den oben genannten Regeln wird beispielsweise aus dem Wort „kompliziert“ das Wort „K0mplizier7!“. Dies würde in vielen Unternehmen als gültiges Kennwort anerkannt werden, das den Standard-Passwortrichtlinien des Active Directory entspricht. Natürlich sind Angreifer mit diesen Strategien vertraut und nutzen dieses Wissen zur Verbesserung ihrer Brute-Force- und „Hybrid Dictionary“-Angriffe. Traditionelle Komplexitätsanforderungen haben dazu geführt, dass Passwörter für Menschen schwer zu merken, aber für Tools und Cracking-Algorithmen sehr leicht zu erraten sind.
Außerdem erhöht sich das Risiko der Wiederverwendung von Passwörtern, wenn Benutzer komplexe Passwörter erstellen müssen. Bitwarden fand heraus, dass 68 % der Internetnutzer Passwörter für mehr als 10 Websites verwalten – und 84 % dieser Personen geben zu, dass sie Passwörter wiederverwenden. Wenn man sich ein komplexes Passwort gemerkt hat, ist die Versuchung groß, es wiederzuverwenden, anstatt zu versuchen, sich 10 einzigartige komplexe Passwörter zu merken. Die Wiederverwendung von Passwörtern erhöht die Wahrscheinlichkeit, dass ein Passwort kompromittiert wird, erheblich.
Wenn also die Stärke eines Passworts nicht durch Komplexität gesteigert werden soll, wie lautet dann die Alternative? Sie ahnen es schon – lange, einprägsame Passphrasen.
Best-Practices für die Förderung von starken Passphrasen
Die Umstellung von Passwörtern auf Passphrasen mag für Ihre Nutzer anfangs etwas kontraintuitiv sein. Eine anfängliche Aufklärung darüber, dass längere Passwörter auch stark sein können, kann helfen, die Dinge ins Rollen zu bringen. Das Canadian Centre for Cyber Security empfiehlt, dass eine Passphrase mindestens vier Wörter und 15 Zeichen lang sein sollte. Ähnlich empfiehlt das britische National Cyber Security Centre, drei zufällige Wörter zu kombinieren.
Zufallsgeneratoren für Wörter können hilfreich sein und die meisten gängigen Passwort-Manager verfügen über integrierte Zufallsgeneratoren für Passphrasen. Um die Wiederstandskraft gegen Hybrid-Dictionary Attacks zu erhöhen, können Sie die Nutzer sogar dazu auffordern, eines der Wörter absichtlich falsch zu schreiben, solange es noch leicht zu merken ist, oder Fantasiebegriffe zu verwenden.
Best-Practices für Passphrasen
- Seien Sie unberechenbar: Der Zufall spielt bei Passphrasen eine besonders wichtige Rolle. Michael-Jordan-Basketball“ könnte zum Beispiel ein Passwort mit mehr als 20 Zeichen sein, aber es ist nicht zufällig, da die Wörter miteinander verbunden sind. Sie möchten auch nicht, dass die Endbenutzer Wörter oder Ausdrücke wählen, die für Ihr Unternehmen relevant sind – ein Tool wie Specops Password Policy ermöglicht es Ihnen, benutzerdefinierte Wörterbücher mit gesperrten Wörtern zu Ihrem Active Directory Passwortrichtlinien beizufügen.
- Niemals wiederverwenden: Unabhängig davon, wie sicher eine Passphrase für die Arbeit ist, kann sie dennoch kompromittiert werden, wenn Endbenutzer Passphrasen auf privaten Geräten über ein ungesichertes Netzwerk, eine Anwendung oder eine Website wiederverwenden. Diese Angewohnheit lässt sich nur schwer vollständig ausmerzen, daher kann Ihre IT-Abteilung Specops Password Policy verwenden, um Ihr Active Directory kontinuierlich nach kompromittierten Passphrasen zu durchsuchen.
- Aktivieren Sie MFA wo möglich: Auch nach der Erstellung einer starken Passphrase lohnt es sich immer, eine weitere Authentifizierungsebene hinzuzufügen. Die Multi-Faktor-Authentifizierung ist zwar nicht unfehlbar, stellt aber eine weitere Hürde dar, die Hacker überwinden müssen, wenn es ihnen gelingt, die Passphrase eines Ihrer Nutzer zu kompromittieren.
Benutzerfreundliches Rollout von Passphrasen
Die Einführung einer separaten Passwortrichtlinie für Passphrasen ist mit Specops Password Policy ganz einfach. Ein Administrator kann wählen, ob er nur herkömmliche Passwörter oder Passphrasen oder beides unterstützt. Der Administrator kann auch wählen, wie die Informationen für den Endbenutzer dargestellt werden, der versucht, sein Passwort zu ändern. So kann der Administrator klare und präzise Informationen bereitstellen, damit die Endbenutzer genau verstehen, was sie tun müssen.
Bei der Einführung einer neuen Richtlinie ist auch die Benutzerfreundlichkeit wichtig. Der Specops Authentication Client bietet ein dynamisches Feedback, das den Anwendern in Echtzeit zeigt, was sie tun müssen, um die neue Richtlinie zu erfüllen – z.B. eine 15-Zeichen-Passphrase und wie sich dabei die Komplexitätsanforderungen von klassischen Passwörtern unterscheiden. Außerdem kann eine längenbasierte Alterung hinzugefügt werden, die Benutzer mit einer längeren Zeit bis zum nächsten, erzwungenen Passwortreset “belohnt”, wenn diese ein längeres Passwort wählen.
(Zuletzt aktualisiert am 10/05/2024)