Passwort-Regeln :: Ich bin etwas überrascht

by Volker Weber

Screenshot 2020 06 26 at 17 03 48

Wenn man mich nach Passwort-Regeln gefragt hätte, dann wäre mir als erstes eingefallen: Alle zwei Monate ändern, mindestens acht Zeichen, mindestens ein Großbuchstabe, mindestens ein Sonderzeichen, mindestens eine Zahl. Das ist zwar eine doofe Vorschrift, weil die Entropie des Passwortes klein ist, weil man sich das schlecht merken kann, und weil man es dazu gefühlt dauernd ändern muss.

Meine kleine Umfrage hat aber ergeben, dass die ständige Passwort-Wechselei nur noch bei weniger als der Hälfte der Befragten vorgeschrieben ist. Ein Drittel muss das Kennwort nie wechseln. Das ist die beste Option, weil man sich damit ein sehr schwierig zu ratendes Kennwort ausdenken kann, an das man sich gut erinnern kann. Wenn man glaubt, das Passwort sein kompromittiert, muss man es sowieso sofort ändern und nicht erst nach Ablauf einer Zeit.

Screenshot 2020 06 26 at 17 04 10

Bei der Länge der Kennwörter habe ich mich ebenfalls geirrt. Acht Zeichen reichen nur noch bei einem von fünf Befragten aus. Wobei ich ziemlich sicher bin, dass man sich kaum mehrere Kennwörter vom Typ 2 merken kann, insbesondere dann nicht, wenn man es öfter wechseln muss. Meine Lieblingsoption kommt dabei am schlechtesten weg: drei bis vier unzusammenhängende Wörter zu einer langen Passphrase zusammenfügen.

Und wie läuft das bei Euch so?

Comments

Ohne Passwort-Manager hätte ich keine Chance ... Insofern ist es egal, wie lange und kompliziert ein Passwort sein muss. Ich lass es eh fast immer über den Passwort-Manager (hier: KeePass) generieren.

Michael Urspringer, 2020-06-26

Leider sind viele Passwortfilter noch nicht so weit, dass sie die Lieblingsoption (lange Passphrase mit mehreren zusammenhängenden Wörtern) zulassen und verpflichten damit zur schwächeren Entropie.

Daniel Kremer, 2020-06-26

Company Policy: Alle 3 Monate ändern, 14 Tage davor jeden Tag erinnert werden, wenn abgelaufen Änderung über VPN unmöglich, 8 Zeichen, davon zwei aus Groß/Klein/Zahl/Sonderzeichen, aber nicht alle Sonderzeichen, maximal 16 Zeichen.

Andere nannten das kürzlich "a hellhole of a company".

Wo sie nicht greift: Vollständige leicht zu merkende Sätze mit Satzzeichen, Leerzeichen, Groß- und Kleinschreibung, ergänzt um eine Zahl, die damit nichts zu tun hat.

Sven Richert, 2020-06-26

Das BSI hat Anfang Februar die Rotation von Passwörtern aus dem Grundschutzhandbuch gestrichen. Damit haben sie sich mehrere Jahre später der Meinung ihrer britischen bzw. amerikanischen Kollegen (CESG/NIST) angeschlossen. Am Grundschutzhandbuch orientieren sich viele Auditoren, Prüfer und Sicherheitsbeauftragte. Das war daher sozusagen der Durchbruch bei dem Thema in Branchen mit vielen regulatorischen Auflagen in der IT.

Bernd Waterkamp, 2020-06-26

Eigentlich ist bekannt, dass die verpflichtende Änderung nur zu hochzählenden Passworten führt. Damit ist nichts gewonnen. Sinnvolle Regeln prüfen das Passwort auf bekannte Passworte aus Hacks ab. Damit werden auch viele der trivialen gefangen.
Und: bitte keine Passwortdialoge, die das Paste verhindern. Das verhindert nur den Passwort-Manager und damit vernünftige Passworte.
Eine "maximale Länge" ist natürlich auch Unfug. Ein Passwort wird gehashed, damit ist die Länge des Inputs egal.
Ich mag weiterhin diceware. Damit bekomme ich eine Passphrase, die man sich einigermaßen merken kann.

Ulf Jährig, 2020-06-26

Hochzählen geht bei uns nicht. Zuviele gleiche Zeichen mit vorherigen Passwörtern ;-)

Michael Urspringer, 2020-06-26

Michael, einfach mehrere Digits gleichzeitig hochzählen könnte gehen - hat mir ein Freund erzählt.

Hubert Stettner, 2020-06-26

Das Passwort muss einmal im Jahr geändert werden. Mindestlänge sind 20 Zeichen, Zeichenauswahl ist relativ frei, sich häufig wiederholende gehen natürlich nicht.

Ausnahme: Administratorkennworte für Services. Die müssen 25 Zeichen lang sein und haben Anforderungen nach Sonderzeichen, Zahlen und Groß- bzw Kleinbuchstaben.

Cheers,

Ralph

Ralph Angenendt, 2020-06-26

Zuviele gleiche Zeichen werden erkannt? Das klingt aber nach einem nicht gehashen, sondern einem verschlüsselten Passwort...

Ulf Jährig, 2020-06-26

Type4 + 2FA im Alltag für essentiellen persönlichen Zugang.
Unique, generiert, maxlen über alle validen Chars im Passwort-Manager für alles spätere.

Stefan Funke, 2020-06-27

Ein Kollege hat mich korrigiert: Die Länge ist nicht mehr auch 16 Zeichen limitiert und der Verbot mancher Sonderzeichen auch, seit wir das ERP im letzte Herbst auf eine Oder-Neiße-Linie Version aktualisiert haben.

10 Hashes werden als Historie vorgehalten, so dass die meisten einfach hochzuholen.

Richtig blöd ist es beim iPhone, iPad und Apple Watch. Auch da muss man alle drei Monate ändern, sechsstelliger Code, 19 Historie, es ist ganz schön schwierig, sich sechs Zahlen auszudenken, die man sich merken kann, die man nicht Social Engineering kann. Auch das durchdrücken auf die private Apple Watch der Änderungsfrequenz finde ich echt mies. Früher ™ hatte Ich auf iPhone und Watch unterschiedliche sechsstellige Codes, die man nicht erraten konnte, nach 20 verbrannten guten Codes habe ich zurzeit einen nicht soooo Guten auf beiden Geräten.

Was ich übrigens auch noch mache, dass ich wo ich kann eine eigene E-Mail-Adresse je Service verwende.

Sven Richert, 2020-06-27

Ich empfehle allen meinen Kunden, in der Cloud GRUNDSÄTZLICH (!) mit MfA zu arbeiten. Ausnahmeregeln für Company Netzwerke / Trusted Site / Devices sind dabei möglich.

Bei den letzten Fällen (und das waren in den vergangenen Monaten leider einige) die kompromittiert wurden fand der Angriff immer sehr gezielt statt und NICHT über "Kennwortraten". Diese Angriffe werden inzwischen gezielt vorbereitet und dann in aller Gründlichkeit durchgezogen.

Jeder zusätzliche Schutz zählt. Kennwörter sind immer einfach zu kompromittieren, alles Andere ist besser: MfA über Handy/Token, FaceID, Fingerabdruck, Windows Hello: Alles sicherer als ein Kennwort, selbst wenn es 20 Zeichen lang ist. Deswegen verstehe ich auch viele Firmen nicht, die z.B. die Gesichtserkennung bzw. Windows Hello aus "Datenschutzgründen" deaktivieren. Typisch Deutscher Michel eben: Benutzer dazu zwingen, ein 12 stelliges Kennwort alle 30 Tage zu wechseln, alternative Anmeldemethoden verhindern und bei einem Angriff dann alles auf das böse Internet und die Cloud schieben...

Roland Dressler, 2020-06-27

Roland, WORD. Wirklich unfassbar, was für ein Zirkus um Passwörter gemacht wird, wo wir längst wissen, dass das Security Theater ist.

Volker Weber, 2020-06-27

MfA finde ich auch gut (verwende ich bei relevanten Services wo möglich auch), außer RSA Secure ID Token. Aus vielerlei Gründen. U.A. weil er neuerdings auf Bluetooth zugreift.

Sven Richert, 2020-06-27

Die Datenschutzbedenken bei Windows Hello kann ich nachvollziehen. Das Gesicht bzw. der Fingerabdruck (die biometrischen Daten) bleiben bei Hello nicht auf dem Gerät, sondern gehen in die Cloud. Und auch auf dem Gerät kann man sie viel zu leicht auslesen. Und mein Gesicht und meine Fingerabdrücke kann ich nicht ändern, wie ein kompromittiertes Passwort.

Außerdem braucht man m. K. bei jedem Gerät immer auch noch ein Passwort und kann nicht ausschließlich biometrisch anmelden. Bei Windows Hello brauchen wir (ich weiß nicht, ob das immer so ist) auch noch eine PIN, die das ganze total absurd macht.

Ich liebe es übrigens meinen Mac mit der Watch zu entsperren.

Sven Richert, 2020-06-27

Entweder wird es gerade absurd, oder ich verstehe es einfach nicht.

Volker Weber, 2020-06-27

Beim iPhone beispielsweise wird der Fingerabdruck oder das Gesicht in der Secure Enclave auf dem Gerät gespeichert.

Bei Windows Hello wird der Fingerabdruck oder das Gesicht auf dem Gerät und in der Cloud gespeichert. Das stört die Datenschützer, m. E. zurecht.

Um Windows Hello zu aktivieren brauchen wir (bei uns in der Firma) zusätzlich zum andauernd zu wechselnden komplizierten Passwort eine numerische Geräte-PIN. Ich glaube fünf maximal sechsstellig. Ich glaube, mann muss sie nie ändern. Damit wird das sichere, biometrische Verfahren noch wertloser, weil man mit der PIN auch reinkommt. Ich kann mich dann 1. mit der PIN, 2. mit meinem Fingerabdruck oder meinem Gesicht 3. (nachdem man die Option gefunden hat) mit dem Passwort anmelden. Ich verwende Hello nicht.

Zusätzlich zu jedem biometrischen Verfahren braucht man meiner Kenntnis bei jedem Gerät immer ein Passwort. Somit kann das biometrische Verfahren die Sicherheit nicht verbessern, weil man ja mit dem Passwort auch ins Gerät reinkommt. Anders als Roland oben schrieb. Es ist nicht sicherer, nur viel bequemer. Wenn man ein starkes Passwort verwendet, dann ist es genauso sicher, wie das starke Passwort, aber eben nicht sicherer. Da die Wahrscheinlichkeit groß ist, dass man mit FaceID 1. überhaupt ein Passwort verwendet und dass dann 2. auch lang, komplex, sicher sein kann verbessert sich natürlich die Sicherheit.

Ich hoffe, dass ist jetzt klarer.

Sven Richert, 2020-06-27

Nein, nicht wirklich. Dass das komplizierte, ständig zu ändernde Passwort Unsinn ist, das wissen wir bereits. Das geht nur mit einer Aufschreibung woanders, was für sich wieder ein Sicherheitsproblem ist. Was wir eigentlich wollen, ist gar kein Passwort und ein situationsabhängige Authentisierung und Berechtigung. Hello ist darin ein Baustein. Zwei Dinge helfen Dir vielleicht weiter:

Beschreibe mal, wozu ein PC ein TPM braucht, um Windows Hello fähig zu sein.

Beschreibe mal einen Angriff auf ein Cloud-Konto, das mit Hello und MFA geschützt ist. Also etwa auf ein AAD-Konto.

Volker Weber, 2020-06-27

Ich kenne kein Gerät oder Konto, dass ausschließlich biometrisch authentifiziert, bei dem es kein Passwort gibt, mit dem ich mich auch anmelden kann. Meine Apple-Geräte beispielsweise verlangen von Zeit zu Zeit auch, das ich mich mit dem Passwort/PIN authentifiziere, ohne dass es vorher erfolglose biometrische Authentifizierungsversuche gab. Wahrscheinlich, damit ich das Passwort nicht vergesse (was ich sowieso in einem Passwortsafe meines Vertrauens gespeichert habe, und das ist nicht LastPass, aber auch das führt zu weit).

Die Sicherheit des Geräts oder Kontos wird durch biometrische Authentifizierung überhaupt nicht besser, als die des dazugehörigen Passworts. Und wenn man dann noch ein PIN braucht, um die Biometrie einzuschalten, dann ist sie schlechter.

Ich habe auch nirgends geschrieben, dass Multi-Faktor-Authentifizierung schlecht ist. Im Gegenteil, das finde ich gut und verwende sie (wahrscheinlich) überall, wo es geht (außer RSA Secure ID Token, die finde ich doof, insbesondere deren Softtoken, aber das ist eine ganz andere Geschichte). MFA erhöht die Sicherheit signifikant. Bei einem trusted Device mit Username und Passwort halte ich den Zugewinn an Sicherheit für zu klein, um auch noch MFA zu machen. Das schrieb Roland ja auch als potentielle Ausnahme. Kann man aber trotzdem machen.

Gar kein Passwort wäre bequem und sicher, aber ich kenne kein Szenario, wo das möglich ist.

Sven Richert, 2020-06-27

Wie merkst du, wenn du auf dem Holzweg bist? Und warum bist du soviel schlauer als die besten Security-Leute von Microsoft?

Volker Weber, 2020-06-27

Ich kenne kein Szenario, wo das möglich ist. Sag mir doch einfach, wo ich mich ausschließlich biometrisch anmelden kann, und es kein Passwort gibt. Welches Gerät, welches Konto? Hol mich doch einfach vom Holzweg runter.

Sven Richert, 2020-06-27

Du kannst dich nur bei deiner leiblichen Mutter ausschließlich biometrisch anmelden. Diese Authentisierung hast du geerbt. Beim leiblichen Vater ist die Fehlerquote bereits etwa 10 Prozent. Überall sonst brauchst du noch einen zweiten Faktor, etwa ein Ausweispapier.

Du versteht Hello einfach nicht und bist gar nicht in der Lage, Anforderungen zu formulieren. Beispiel: Die Biometrie wird keinesfalls in der Cloud gespeichert. Die ist maschinenspezifisch und wird vom TPM Modul gesichert.

Sobald Du Hello verstehst, klappt das ganze Kartenhaus in sich zusammen.

Hier weiterlesen: https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-manage-in-organization
https://support.microsoft.com/en-us/help/4468253/windows-10-sign-in-options-and-privacy
https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-passwordless#fido2-security-keys

So viele Möglichkeiten statt dusseliger Passwörter.

Volker Weber, 2020-06-27

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

John Daniels on Be careful with your #VanMoof Electrified S at 00:16
Ian Bradbury on Trommelfeuer at 21:39
Peter Daum on The Future Of Workspaces Will Be Unrecognizable :: Forbes at 19:23
Volker Weber on Social distancing works at 15:50
Boudewÿn /<iljan on Social distancing works at 12:57
Volker Weber on Hammerpreis für Apple AirPods Pro at 18:47
Axel Seifried on Hammerpreis für Apple AirPods Pro at 18:45
Volker Weber on Hammerpreis für Apple AirPods Pro at 18:04
Axel Seifried on Hammerpreis für Apple AirPods Pro at 17:48
Volker Weber on ANC Headsets :: Meine Top 3 at 16:26
Federico Hernandez on ANC Headsets :: Meine Top 3 at 16:20
Volker Weber on Jabra Evolve2 85 :: Der Alleskönner at 15:12
Johannes Koch on Jabra Evolve2 85 :: Der Alleskönner at 15:02
Stephan Bohr on Hammerpreis für Apple AirPods Pro at 14:58
Volker Weber on Hammerpreis für Apple AirPods Pro at 14:32
Ralph Rost on Hammerpreis für Apple AirPods Pro at 14:31
Marc Henkel on Hammerpreis für Apple AirPods Pro at 14:19
Frank Quednau on ANC Headsets :: Meine Top 3 at 12:54
Götz Görisch on Samsung hat's drauf :: Nokia weniger at 12:51
Volker Weber on ANC Headsets :: Meine Top 3 at 11:55
Stefan Hempel on ANC Headsets :: Meine Top 3 at 11:52
David Guillaume on ANC Headsets :: Meine Top 3 at 11:51
Volker Weber on ANC Headsets :: Meine Top 3 at 11:43
Stefan Hempel on ANC Headsets :: Meine Top 3 at 11:42
David Guillaume on Samsung hat's drauf :: Nokia weniger at 10:31

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 05:24

visitors.gif

Paypal vowe