Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Passphrasen oder Passwörter? Was ist sicherer?
Die erste Verteidigungslinie gegen Angreifer sind sichere Passwörter. Bis 2016 gab es dafür klare Regeln. Ein Passwort, das mindestens 6 Zeichen lang war, aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestand, galt als sicher. Diese Anforderungen an sichere Passwörter hatte das National Institute of Standards and Technology (NIST), eine US-amerikanische Bundesbehörde für Standardisierungsprozesse, 2003 formuliert. Am NIST-Standard orientierten sich nicht nur US-Behörden, sondern auch Organisationen, Institutionen und Unternehmen auf der ganzen Welt und versuchten mit mäßigem Erfolg, ihren Mitarbeitern diese Regeln nahezubringen. Bis 2017 die Kehrtwende kam. In der Special Publication (SP) 800-63-3 empfahl das NIST, im Umgang mit den Usern von System-Accounts einen neuen Weg einzuschlagen: nicht mehr gegen sie, sondern mit ihnen an der Passwortsicherheit zu arbeiten.
Passphrasen lassen sich leichter merken
Der radikal neue Ansatz des NIST ist, User zur Bildung langer Passphrasen zu animieren, statt sie mit der Bildung komplexer Passwörter zu überfordern. Solche Passphrasen sollen bis zu 64 Zeichen lang sein und alle erdenklichen Zeichen, inklusive Leerzeichen, Sprachsonderzeichen und Emojis, enthalten dürfen. Außerdem soll der Zwang zum regelmäßigen Passwortwechsel entfallen. Einmal vergeben, kann ein Passwort oder eine Passphrase vom User eines Benutzerkontos beibehalten werden, solange sie nicht kompromittiert wurden. Mit diesen neuen Empfehlungen sollen Menschen in die Lage versetzt werden, sich Passphrasen auszudenken, die sie sich gut merken können und die aufgrund ihrer Länge trotzdem sicher sind.
Sicherheitsrisiken, die durch Komplexitätsanforderungen entstehen
Das Problem mit klassischen Passwörtern, die nach Komplexitätsanforderungen gebildet werden, ist: Man vergisst sie zu leicht. Bittet man Menschen, komplexe Passwörter zu benutzen, suchen sie deshalb nach Lösungen, wie sie ein Kennwort aus Buchstaben, Zahlen und Sonderzeichen doch behalten können. Sicherheitskritische Strategien bzw. Tricks dafür sind unter anderem:
- die Zeichenfolge keinesfalls länger werden zu lassen als unbedingt erforderlich,
- der Zeichenfolge einen leicht zu erratenden Sinn zu geben, zum Beispiel, indem der eigene Namen mit Asterisk und Geburtsjahr kombiniert wird,
- das Passwort zu notieren und den Zettel am Computerbildschirm anzubringen,
- leicht einprägsame Zeichen im Passwort mehrfach zu wiederholen,
- auf der Tastatur benachbarte Zeichen zu Zeichenfolgen zu kombinieren.
Stärkere Regeln, mehr Passwortfrust
IT-Sicherheitsbeauftragte reagierten auf diese und ähnliche Sicherheitsrisiken mit immer höheren Komplexitätsanforderungen und erließen zusätzliche Regeln für gültige Passwörter, zum Beispiel solche:
- Gruppen von mehr als zwei Zeichen, die auch im Vornamen, Nachnamen oder Benutzernamen vorkommen, sind unzulässig.
- Es dürfen nicht mehr als zwei Zeichen in Folge auftreten.
- Das Passwort muss mindestens fünf verschiedene Zeichen enthalten.
- Keine Gruppe von drei oder mehr Zeichen darf sich im Passwort wiederholen.
- Gruppen von mehr als drei Zeichen, die der Anordnung des Alphabets oder der Tastatur entsprechen, sind nicht zulässig.
Je komplexer die Regeln für die Bildung von Passwörtern wurden, ums so frustrierter waren Menschen, die Passwörter erstellen sollten und oft viele Versuche benötigten, bis ihr Passwort endlich akzeptiert wurde (ganz zu schweigen davon, dass sie es bis zur nächsten Eingabe längst vergessen hatten).
Was sind Passphrasen?
Der neue NIST-Standard setzt auf größere Nutzerfreundlichkeit durch die Ermöglichung langer Passphrasen. Eine Passphrase übersteigt die gängige Passwortlänge und enthält mindestens 25 Zeichen. Neben einer Zeichenfolge, kann sie auch aus Worten und Leerzeichen oder aus ganzen Sätzen bestehen. Eine Passphrase gilt auch dann als sicher, wenn sie nur zwei Zeichenarten, beispielsweise Groß- und Kleinbuchstaben, enthält.
Passphrasen folgen dem Prinzip: Je länger eine Zeichenkette ist, um so schwerer ist sie zu knacken. Hacker nutzen heute spezielle Hardware und Software-Tools, um in sogenannten Brute-Force-Angriffen – oft kombiniert mit Wörterbüchern und langen Listen mit Millionen bereits kompromittierter Passwörter – über die schiere Anzahl der Versuche Passworttreffer zu landen. Das Specops Security Research Team veröffentlichte kürzlich eine Analyse, wie lange Angreifer brauchen, um Benutzerpasswörter mithilfe moderner Hardware und Brute Force zu knacken. Auch hier bestätigte sich, dass die beste Richtlinie für das Bilden sicherer Passwörter die Aufforderung ist, lange Zeichenketten zu wählen. Die gängigen Betriebssysteme Windows, Linux und MacOS unterstützen lange Passphrasen. Einige Plattformen oder Anbieter zwingen Nutzer jedoch weiterhin, komplexe Passwörter für ihre Accounts zu bilden und lassen maximal 20 Zeichen zu. Der neue Standard scheint noch nicht überall angekommen zu sein. Für die Sicherheit Ihrer Systeme kann das ein Vorteil sein: Wenn diese Passphrasen verwenden, private Plattformen Ihrer Mitarbeiter aber nicht, entfällt schon mal eine Versuchung für das Passwort-Recycling.
Sicherheitsrisiken auch bei Passphrasen
Vielen Menschen kommt es sicherlich entgegen, wenn sie sich Phrasen statt Kombinationen aus vier verschiedenen Zeichenarten merken sollen. Es entstehen jedoch erhebliche Sicherheitsrisiken, wenn hier Titel von Büchern oder Filmen gewählt werden, Lieblingszeilen aus populären Songs oder Gedichten, Sprichwörter oder gar Kultsätze wie: „Möge die Macht mit dir sein!“ Auch sollten die Passphrasen keine persönlichen Informationen enthalten, die sich aus Social Media Accounts auslesen lassen. „Sybille arbeitet seit 2014 bei Siemens“ ist keine sichere Passphrase, wenn Sybilles Linkedin-Profil genau diese Information preisgibt.
Die Länge allein macht ein Passwort also noch nicht sicher. Wesentlich für den Schutz vor Angriffen ist nach der NIST-Richtlinie auch die Sperrung von häufig verwendeten oder bereits kompromittierten Passwörtern. Die Passwörter von Benutzerkonten sollten gegen eine regelmäßig aktualisierte Liste von Passwörtern aus Datenleaks geprüft werden.
Sicher sind Passphrasen vor allem dann, wenn sie quasi dadaistischen Unsinn enthalten, zum Beispiel der Satz: „Käfer zerreißen Hackbraten in reinliche Schönheiten.“ Ob sich solcher Unsinn dann aber auch leichter merken lässt als ein klassisches komplexes Passwort, sei dahingestellt.
Fazit: Was ist besser? Klassische, komplexe Passwörter oder Passphrasen?
Komplexe Regeln für die Bildung von Passwörtern schaffen nach Ansicht von Sicherheitsexperten oft ein falsches Gefühl der Sicherheit. Die neuen Empfehlungen zur Passwortqualität mit der Ermutigung zu langen Passphrasen spiegeln die Tatsache wider, dass die Nutzer das schwächste Glied der Sicherheitskette sind. In den Passwortrichtlinien muss es deshalb darum gehen, sie dabei zu unterstützen, gute und sichere Passwortentscheidungen zu treffen.
Da es erwiesen ist, dass längere Passphrasen kryptografisch schwieriger zu knacken sind als klassische kurze Passwörter, die nach komplexen Regeln gebildet wurden, sollten Nutzer aus Sicherheitserwägungen diese Möglichkeit der Passwortbildung bekommen. Menschen sind verschieden und nutzen unterschiedliche Techniken oder Eselsbrücken, um sich Passwörter zu merken. Manchen mag es einfacher fallen, sich Phrasen zu merken. Andere haben praktikable Lösungen für die Bildung und den Abruf sicherer klassischer Passwörter gefunden. Wichtig für Sicherheitsbeauftragte ist in jedem Fall, sich zu vergegenwärtigen, dass man mit den Menschen statt gegen sie an der Qualität von Passwörtern arbeiten muss.
In seinen Anforderungen an ein sicheres Identitäts- und Berechtigungsmanagement bringt das Bundesamt für Sicherheit in der Informationstechnik diesen Punkt auf folgende Formel: „Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende in der Lage sind, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“
Angebot von Specops
Ob Sie Ihre Nutzer durch Ihre Passwortrichtlinien wirksam dabei unterstützen, sichere Passwörter zu erstellen, können Sie mit unserem Analyse-Tool Specops Password Auditor herausfinden. Es kann außerdem darstellen, wie effektiv Ihre Passwortrichtlinien gegen Brute-Force-Angriffe wirken. Darüber hinaus findet unser Passwort-Audit-Tool passwortrelevante Schwachstellen, zum Beispiel Konten mit schwachen oder kompromittierten Passwörtern. Aussagekräftige Berichte im PDF-Format unterstützen Sie dabei, Maßnahmen zur Verbesserung der IT-Sicherheit einzuleiten.
Autor
Karola Klatt
Karola Klatt ist Lektorin, Redakteurin, Texterin und Moderatorin im Bereich Wissenschaftskommunikation. Für die B2B-Content-Marketing-Agentur ucm schreibt sie über IT-Governance, ‑Risikomanagment und ‑Sicherheit.
(Zuletzt aktualisiert am 01/08/2023)