16
Passwörter - Komplexität und Lebensdauer - aktuelle Empfehlungslage!?
Moin Zusammen,
ich musste mich gestern mal wieder mit der Frage bezüglich der Komplexität und der Lebensdauer von Benutzerpasswörtern beschäftigen.
Um genau zu sein ging es bei einem Kundengespräch darum, die jetzt schon geltenden Richtlinien, Komplexität 3von4 und Änderung alle 90 Tage nochmals zu verschärfen, sprich, am liebsten 4von4 und noch häufiger ändern.
Dabei hat das BSI bereits schon mindestens seit 2020, die Empfehlung diesbezüglich gravierend geändert.
Ich finde jetzt leider nicht mehr die entsprechende Fassung der ORP.4 aus 2020. Jedoch hat die Heise im folgenden Artikel …
https://www.heise.de/news/Passwoerter-BSI-verabschiedet-sich-vom-praeven ...
… darüber Anfang 2020 auch berichtet gehabt.
Und zwar schreibt Heise in diesem Artikel zu dem Thema „Lebensdauer“ das Folgende.
Ich habe mir gestern jedoch die aktuelle Fassung der ORP.4 des BSI …
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...
… mal genauer angesehen und habe in dieser das Folgende entdeckt, …
…, sprich, im Gegensatz zu der ORP.4 aus dem Jahr 2020, äussert sich das BSI in der aktuellen Fassung der ORP.4, sehr wohl und sogar sehr eindeutig zu diesem Thema.
Und auch zum Thema „zu komplexe Passwörter“, …
… hat das BSI laut der aktuellen ORP.4, eine recht eindeutige Meinung/Empfehlung.
Dann habe ich unter ORP.4.A8 noch die folgende interessante Aussage/Empfehlung, respektive, hier und da auch Vorgabe gefunden und zwar das Folgende, …
… womit meinem Verständnis nach, der BSI jegliche Nutzung von Password-Managern untersagt, die die Daten/Passwörter nicht ausschliesslich lokal/intern speichern.
Mit den bisher genannten Punkten und auch vielen weiteren aus der aktuellen Fassung der ORP.4, kann ich mich übrigens durchaus anfreunden … aber, es gibt in dieser auch ein paar Punkte, wo ich mir nicht sicher bin ob die wirklich ernstgemeint sind. 😔
Insbesondere die folgende Empfehlung/Vorgabe …
… finde ich etwas über das Ziehl hinausgeschossen. 🙃
Denn auch für jede interne Applikation (ERP, CRM, DMS & Co) ein eigenes Passwort zu verwenden, finde ich persönlich mehr als übertrieben, außerdem wäre damit jegliches SSO faktisch böse. 😬
Meiner Ansicht nach sind für normale Zwecke (Standarduser und nur interne Authentifizierung) mind. 12 Stellen, 3von4 und Änderung bei Bedarf, als Richtlinie eigentlich vollkommen ausreichend, damit ein User ein nicht einfach zu erratendes Paswort erstellen kann.
Sollten die internen Zugangsdaten, von Aussen auch für z.B. eine VPN Authentifizierung verwendet werden, so muss meiner Ansicht nach an dieser Stelle natürlich noch mindestens 2FA dazugeklemmt werden.
Wie denkt Ihr über dieses Thema?
Gruss Alex
ich musste mich gestern mal wieder mit der Frage bezüglich der Komplexität und der Lebensdauer von Benutzerpasswörtern beschäftigen.
Um genau zu sein ging es bei einem Kundengespräch darum, die jetzt schon geltenden Richtlinien, Komplexität 3von4 und Änderung alle 90 Tage nochmals zu verschärfen, sprich, am liebsten 4von4 und noch häufiger ändern.
Dabei hat das BSI bereits schon mindestens seit 2020, die Empfehlung diesbezüglich gravierend geändert.
Ich finde jetzt leider nicht mehr die entsprechende Fassung der ORP.4 aus 2020. Jedoch hat die Heise im folgenden Artikel …
https://www.heise.de/news/Passwoerter-BSI-verabschiedet-sich-vom-praeven ...
… darüber Anfang 2020 auch berichtet gehabt.
Und zwar schreibt Heise in diesem Artikel zu dem Thema „Lebensdauer“ das Folgende.
Die 2020er-Ausgabe des BSI-Grundschutz-Kompendiums enthält im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) jedenfalls keine diesbezügliche Empfehlung mehr. Lediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern.
Ich habe mir gestern jedoch die aktuelle Fassung der ORP.4 des BSI …
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...
… mal genauer angesehen und habe in dieser das Folgende entdeckt, …
…, sprich, im Gegensatz zu der ORP.4 aus dem Jahr 2020, äussert sich das BSI in der aktuellen Fassung der ORP.4, sehr wohl und sogar sehr eindeutig zu diesem Thema.
Und auch zum Thema „zu komplexe Passwörter“, …
… hat das BSI laut der aktuellen ORP.4, eine recht eindeutige Meinung/Empfehlung.
Dann habe ich unter ORP.4.A8 noch die folgende interessante Aussage/Empfehlung, respektive, hier und da auch Vorgabe gefunden und zwar das Folgende, …
… womit meinem Verständnis nach, der BSI jegliche Nutzung von Password-Managern untersagt, die die Daten/Passwörter nicht ausschliesslich lokal/intern speichern.
Mit den bisher genannten Punkten und auch vielen weiteren aus der aktuellen Fassung der ORP.4, kann ich mich übrigens durchaus anfreunden … aber, es gibt in dieser auch ein paar Punkte, wo ich mir nicht sicher bin ob die wirklich ernstgemeint sind. 😔
Insbesondere die folgende Empfehlung/Vorgabe …
… finde ich etwas über das Ziehl hinausgeschossen. 🙃
Denn auch für jede interne Applikation (ERP, CRM, DMS & Co) ein eigenes Passwort zu verwenden, finde ich persönlich mehr als übertrieben, außerdem wäre damit jegliches SSO faktisch böse. 😬
Meiner Ansicht nach sind für normale Zwecke (Standarduser und nur interne Authentifizierung) mind. 12 Stellen, 3von4 und Änderung bei Bedarf, als Richtlinie eigentlich vollkommen ausreichend, damit ein User ein nicht einfach zu erratendes Paswort erstellen kann.
Sollten die internen Zugangsdaten, von Aussen auch für z.B. eine VPN Authentifizierung verwendet werden, so muss meiner Ansicht nach an dieser Stelle natürlich noch mindestens 2FA dazugeklemmt werden.
Wie denkt Ihr über dieses Thema?
Gruss Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670174
Url: https://administrator.de/contentid/670174
Ausgedruckt am: 16.12.2024 um 01:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
Das wurde hier ja auch schon öfter diskutiert.
Man muß unterscheiden, welchen "Wert" die Paßwörter haben, d.h welchen Gewinn der Angreifer ziehen kann oder welchen Schaden er anrichten kann, wenn er das Paßwort "errät".
Dementsprechend gibt es Paßwörter die nur wenig komplizierter als "gehheim0815" sind und andere die nicht komplex genug sein können , z.B. "liqdsc,a,sqnnemtiuledmaqv.2024!" (tipp: lorem ipsum ...., man muß halt seinen cicero kennen.
).
Das sollt eman daher individuell entscheiden, welche Komplexität wirkllich nötig ist.
Und wegen der Änderungshäufigkeit gilt das gleiche: Bei wertvollen Paßwörter häufiger als bei "wertlosen". Man muß nicht die Paßwörter wie Parolen täglich ändern, Aber mehrere Jahre das gleiche Paßwort ist auch nicht unbeding das schlaueste. Da muß jeder selbt einen Kompromiß finden. Und 90 tage ist definitiv zu kurz. Sinnvoller wäre es einen Paßwortcrocker auf die paßwort-datenbank laufen zu lassen udn immer wenn ein Paßwort rausfällt, dem Benutzer nahezulegen, sein Paßwort zu ändern.
lks
PS: Der klassische XKCD hierzu: correct horse battery staple.
Das wurde hier ja auch schon öfter diskutiert.
Man muß unterscheiden, welchen "Wert" die Paßwörter haben, d.h welchen Gewinn der Angreifer ziehen kann oder welchen Schaden er anrichten kann, wenn er das Paßwort "errät".
Dementsprechend gibt es Paßwörter die nur wenig komplizierter als "gehheim0815" sind und andere die nicht komplex genug sein können , z.B. "liqdsc,a,sqnnemtiuledmaqv.2024!" (tipp: lorem ipsum ...., man muß halt seinen cicero kennen.
).Das sollt eman daher individuell entscheiden, welche Komplexität wirkllich nötig ist.
Und wegen der Änderungshäufigkeit gilt das gleiche: Bei wertvollen Paßwörter häufiger als bei "wertlosen". Man muß nicht die Paßwörter wie Parolen täglich ändern, Aber mehrere Jahre das gleiche Paßwort ist auch nicht unbeding das schlaueste. Da muß jeder selbt einen Kompromiß finden. Und 90 tage ist definitiv zu kurz. Sinnvoller wäre es einen Paßwortcrocker auf die paßwort-datenbank laufen zu lassen udn immer wenn ein Paßwort rausfällt, dem Benutzer nahezulegen, sein Paßwort zu ändern.
lks
PS: Der klassische XKCD hierzu: correct horse battery staple.
Moin @Lochkartenstanzer,
ich habe natürlich geschaut ob es in den letzten 12 Monaten schon einen änlichen beitrag gab, habe aber nichts auf die schnelle gefunden und du siehst ja selber, wie schnell sich hier die Vorgaben ändern können.
Mir geht es bei diesem Beitrag nicht um Passwörter von Admin under User mit erhöhtem Schutzbedarf, sodern um die Passwörter der Standarduser.
Ja, mit nie ändern kann ich mich irgendwie auch nicht wirklich gut anfreunden, aber, eine Anderung alle 90 oder selbst alle 180 Tage, sind meiner Ansicht nach bei einem Standarduser nicht wirklich notwendig.
Gruss Alex
Das wurde hier ja auch schon öfter diskutiert.
ich habe natürlich geschaut ob es in den letzten 12 Monaten schon einen änlichen beitrag gab, habe aber nichts auf die schnelle gefunden und du siehst ja selber, wie schnell sich hier die Vorgaben ändern können.
Man muß unterscheiden, welchen "Wert" die Paßwörter haben, d.h welchen Gewinn der Angreifer ziehen kann oder welchen Schaden er anrichten kann, wenn er das Paßwort "errät".
Dementsprechend gibt es Paßwörter die nur wenig komplizierter als "gehheim0815" sind und andere die nicht komplex genug sein können , z.B. "liqdsc,a,sqnnemtiuledmaqv.2024!" (tipp: lorem ipsum ...., man muß halt seinen cicero kennen.).
Das sollt eman daher individuell entscheiden, welche Komplexität wirkllich nötig ist.
Dementsprechend gibt es Paßwörter die nur wenig komplizierter als "gehheim0815" sind und andere die nicht komplex genug sein können , z.B. "liqdsc,a,sqnnemtiuledmaqv.2024!" (tipp: lorem ipsum ...., man muß halt seinen cicero kennen.
).Das sollt eman daher individuell entscheiden, welche Komplexität wirkllich nötig ist.
Mir geht es bei diesem Beitrag nicht um Passwörter von Admin under User mit erhöhtem Schutzbedarf, sodern um die Passwörter der Standarduser.
Und wegen der Änderungshäufigkeit gilt das gleiche: Bei wertvollen Paßwörter häufiger als bei "wertlosen". Man muß nicht die Paßwörter wie Parolen täglich ändern, Aber mehrere Jahre das gleiche Paßwort ist auch nicht unbeding das schlaueste. Da muß jeder selbt einen Kompromiß finden. Und 90 tage ist definitiv zu kurz. Sinnvoller wäre es einen Paßwortcrocker auf die paßwort-datenbank laufen zu lassen udn immer wenn ein Paßwort rausfällt, dem Benutzer nahezulegen, sein Paßwort zu ändern.
Ja, mit nie ändern kann ich mich irgendwie auch nicht wirklich gut anfreunden, aber, eine Anderung alle 90 oder selbst alle 180 Tage, sind meiner Ansicht nach bei einem Standarduser nicht wirklich notwendig.
Gruss Alex
Zitat von @MysticFoxDE:
Ja, mit nie ändern kann ich mich irgendwie auch nicht wirklich gut anfreunden, aber, eine Anderung alle 90 oder selbst alle 180 Tage, sind meiner Ansicht nach bei einem Standarduser nicht wirklich notwendig.
Ja, mit nie ändern kann ich mich irgendwie auch nicht wirklich gut anfreunden, aber, eine Anderung alle 90 oder selbst alle 180 Tage, sind meiner Ansicht nach bei einem Standarduser nicht wirklich notwendig.
ie gesagt. Einige wenige Kunden habe den Tipp mit dem Paßwortcracker beherzigt und seitdem müssen selten Paßworte geändert werden.
Bei Mitarbeiterwechsel oder -ausscheiden nartürllich sowieso, aber ansonsten. sehr selten. Die anderen haben es entweder abgeschaltet oder halten stur an 90/180 Tagen fest.
lks
Moin Zusammen,
die folgende Empfehlung des BSI in der aktuellen ORP.4, ...
... finde ich mitunter auch sehr sehr "sportlich". 🙃
Gruss Alex
die folgende Empfehlung des BSI in der aktuellen ORP.4, ...
... finde ich mitunter auch sehr sehr "sportlich". 🙃
Gruss Alex
naja, es geht darum, daß der Angreifer nicht erraten können soll, ob der Benutzername oder das Paßwort falsch war. Ist prinzipiell erstmal ja o.k. so. Aber die meisten User merken es ja nicht, wenn sie sich beim
Benutzernamen vertippt haben und dann am eigentlich richtigen Paßwort verzweifeln.
lks
1
Denn auch für jede interne Applikation (ERP, CRM, DMS & Co) ein eigenes Passwort zu verwenden, finde ich persönlich mehr als übertrieben,
Unterschiedliche Passwörter halte ich für selbstverständlich.
Ansonsten ähnlich, 12 Zeichen, 3 von 4 Merkmalen, kein automatischer Ablauf.
Vor-/Nach-/Benutzername darf nicht teil des Passwortes sein.
2FA bei Zugriffen von außerhalb (VPN/VDI)
Privilegierte Kennwörter 20 Zeichen.
1
Moin @Lochkartenstanzer,
bei von aussen zugänglichen Diensten die über interne Useraccounts authentifiziert werden bin ich ja bei dir, bei rein von Intern aufrufbaren Anwendungen, halte ich das jedoch eher für "betriebshinderlich".
Jetzt komm, als ob du dich selber noch nie z.B. beim Admoinistrator oder der Domine mal vetrippselt hättest. 🤪
Gruss Alex
naja, es geht darum, daß der Angreifer nicht erraten können soll, ob der Benutzername oder das Paßwort falsch war. Ist prinzipiell erstmal ja o.k. so.
bei von aussen zugänglichen Diensten die über interne Useraccounts authentifiziert werden bin ich ja bei dir, bei rein von Intern aufrufbaren Anwendungen, halte ich das jedoch eher für "betriebshinderlich".
Aber die meisten User merken es ja nicht, wenn sie sich beim Benutzernamen vertippt haben und dann am eigentlich richtigen Paßwort verzweifeln.
Jetzt komm, als ob du dich selber noch nie z.B. beim Admoinistrator oder der Domine mal vetrippselt hättest. 🤪
Gruss Alex
Moin @CamelCase,
Unterschiedliche Passwörter halte ich für selbstverständlich.
bei externen Anwendungen ja, auf jeden Fall, bei rein internen halte ich das jedoch für übertrieben.
Ich kenne bisher und zum Glück auch kein Unternehmen, wo sich die User z.B. am Rechner mit dem einen, am Outlook mit einen anderen, am CRM mit einem dritten und am ERP mit einem vierten u.s.w. Passwort authentifizieren müssen.
Gerne auch länger oder am besten gleich Authentifizierung über SmartCard. 😁
Gruss Alex
Denn auch für jede interne Applikation (ERP, CRM, DMS & Co) ein eigenes Passwort zu verwenden, finde ich persönlich mehr als übertrieben,
Unterschiedliche Passwörter halte ich für selbstverständlich.
bei externen Anwendungen ja, auf jeden Fall, bei rein internen halte ich das jedoch für übertrieben.
Ich kenne bisher und zum Glück auch kein Unternehmen, wo sich die User z.B. am Rechner mit dem einen, am Outlook mit einen anderen, am CRM mit einem dritten und am ERP mit einem vierten u.s.w. Passwort authentifizieren müssen.
Privilegierte Kennwörter 20 Zeichen.
Gerne auch länger oder am besten gleich Authentifizierung über SmartCard. 😁
Gruss Alex
Zitat von @MysticFoxDE:
Jetzt komm, als ob du dich selber noch nie z.B. beim Admoinistrator oder der Domine mal vetrippselt hättest. 🤪
Jetzt komm, als ob du dich selber noch nie z.B. beim Admoinistrator oder der Domine mal vetrippselt hättest. 🤪
Das merke ich spätestens beim zweiten Mal eintippen des richtigen Passworts.
lks
PS: Dicke Finger bedingen eine sorgfältigere Eingabe bei Credentials.
1
Hallo,
Immer noch besser als keine Finger
Gruss,
Peter
Immer noch besser als keine Finger
Gruss,
Peter
Zitat von @MysticFoxDE:
Wie denkt Ihr über dieses Thema?
Ich fand diesen Vortrag zu dem Thema recht interessant: Passwords are not going away - Per Thorsheim
ich denke es kommt hier eher darauf an welchen Wert das Passwort haben kann - und da würde ich eher richtung 2FA schauen als darauf wie häufig nen Passwort nun gewechselt wird, wie lang das ist oder wie komplex (wobei natürlich ein Minimum selbstverständlich ist - das ein Passwort nicht der Benutzername sein sollte usw. ist keine Frage).
Dabei sehe ich das eher von ner anderen Seite: Gehe ich wirklich hin und sage "ein Passwort pro dienst" oder "muss alle x wochen gewechselt werden",... verliere ich eher die Sicherheit als das ich die gewinne. Denn im BESTEN Fall hängt die Person hinters Passwort einfach noch ne Zahl dran die dann hochzählt. Eher wahrscheinlich ist das die Person sich einfach nen Zettel macht wo alle Passwörter drauf stehen und den wenns dumm läuft sogar offen aufm Schreibtisch hat (oder die übliche Password.txt dann aufm Desktop für einfaches Copy/Paste). Selbst wenns jetzt nicht die Kollegen sind - Google für "password fail" zeigt wie oft da in Präsentationen selbst für die Presse irgendwo auf den Screens plötzlich irgendwelche Passwörter waren. Einmal Screensharing bei der üblichen Präsentation und die Datei wird gezeigt - schon sind alle Passwörter im Umlauf.
Und natürlich kommen jetzt wieder die grossen Admins mit "wers aufschreibt fliegt raus" - nur das wohl kaum jemand zum einen die nötige Erlaubnis dafür hat UND zum anderen das wohl auch kein Betrieb dem Admin ein permanentes durchsuchen der Schreibtische erlaubt (und ich auch in so einem Betrieb nicht arbeiten wollen würde wo der Admin die Betriebspolizei spielt). Von daher ist meine Meinung: Auch bei Passwörtern muss es so sein das der Mitarbeiter da eben auch mitgehen kann. Ansonsten werden die nämlich Mittel und Wege finden sich das wieder zu vereinfachen - und DAS dann meist mit Möglichkeiten die schlimmer als nen simples Passwort sind.
Dabei sehe ich das eher von ner anderen Seite: Gehe ich wirklich hin und sage "ein Passwort pro dienst" oder "muss alle x wochen gewechselt werden",... verliere ich eher die Sicherheit als das ich die gewinne. Denn im BESTEN Fall hängt die Person hinters Passwort einfach noch ne Zahl dran die dann hochzählt. Eher wahrscheinlich ist das die Person sich einfach nen Zettel macht wo alle Passwörter drauf stehen und den wenns dumm läuft sogar offen aufm Schreibtisch hat (oder die übliche Password.txt dann aufm Desktop für einfaches Copy/Paste). Selbst wenns jetzt nicht die Kollegen sind - Google für "password fail" zeigt wie oft da in Präsentationen selbst für die Presse irgendwo auf den Screens plötzlich irgendwelche Passwörter waren. Einmal Screensharing bei der üblichen Präsentation und die Datei wird gezeigt - schon sind alle Passwörter im Umlauf.
Und natürlich kommen jetzt wieder die grossen Admins mit "wers aufschreibt fliegt raus" - nur das wohl kaum jemand zum einen die nötige Erlaubnis dafür hat UND zum anderen das wohl auch kein Betrieb dem Admin ein permanentes durchsuchen der Schreibtische erlaubt (und ich auch in so einem Betrieb nicht arbeiten wollen würde wo der Admin die Betriebspolizei spielt). Von daher ist meine Meinung: Auch bei Passwörtern muss es so sein das der Mitarbeiter da eben auch mitgehen kann. Ansonsten werden die nämlich Mittel und Wege finden sich das wieder zu vereinfachen - und DAS dann meist mit Möglichkeiten die schlimmer als nen simples Passwort sind.
2
Moin,
die Diskussion sollte aber auch mal in Richtung "Keine Kennworte" gehen.
Kennwörter gibt es ja nicht weil sie toll sind, sondern die billig zu implementieren sind.
Email + 2FA ohne Kennwort kann durchaus sicherer sein.
Kennwörter regelmäßig zu ändern führt in der Regel ja nur dazu, dass Du 1-2 Kennwörter brauchst und damit alle zukünftigen kennst. Bei GeheimKatze2024 kann man sich den Rest ja denken.
Kennwörter im Team (nicht MS Teams) und auf desktop und mobilen Geräten zu organisieren und zu benutzen für verschiedene Dienste ist schon aufwendig und nervig. Das gleiche gilt auch für private Umgebungen. Am besten noch Familien. Von kleinen gelben Zetteln mal ganz zu schweigen.
Aber, und jetzt wird es kompliziert, wollen wir uns ja nicht von Google oder MS als Identitätsanbieter abhängig machen.
Stefan
die Diskussion sollte aber auch mal in Richtung "Keine Kennworte" gehen.
Kennwörter gibt es ja nicht weil sie toll sind, sondern die billig zu implementieren sind.
Email + 2FA ohne Kennwort kann durchaus sicherer sein.
Kennwörter regelmäßig zu ändern führt in der Regel ja nur dazu, dass Du 1-2 Kennwörter brauchst und damit alle zukünftigen kennst. Bei GeheimKatze2024 kann man sich den Rest ja denken.
Kennwörter im Team (nicht MS Teams) und auf desktop und mobilen Geräten zu organisieren und zu benutzen für verschiedene Dienste ist schon aufwendig und nervig. Das gleiche gilt auch für private Umgebungen. Am besten noch Familien. Von kleinen gelben Zetteln mal ganz zu schweigen.
Aber, und jetzt wird es kompliziert, wollen wir uns ja nicht von Google oder MS als Identitätsanbieter abhängig machen.
Stefan
Moin.
in a nutshell:
- Benutzerschulung und Sensibilisierung
- Passwortlänge mindestens 16 Zeichen, Komplexität minimal
- Benutzerschulung und Sensibilisierung
- "unique" Passwörter, keine Wiederverwendung
- Benutzerschulung und Sensibilisierung
- Zwei-Faktor-Authentifizierung muss verbindlich eingesetzt werden
- Benutzerschulung und Sensibilisierung
- Verbindliche Nutzung von Passwort-Managern
- Benutzerschulung und Sensibilisierung
- Passwörter werden nur geändert, wenn eine Kompromittierung vermutet oder nachgewiesen ist
- Benutzerschulung und Sensibilisierung
An Zugangsdaten, auch "nur für den Windows-PC im Büro", hängen mittlerweile vollständige, digitale Identitäten, zumindest in ~90% der Fälle. Entra ID Sync, Exchange Online, Teams, <younameit>... Daher ist ein Schutz dieser Identitäten unerlässlich und das muss vor allem jeder Benutzer erklärt und im Zweifel aufgemalt bekommen.
Entropie ist der Schlüssel, ein zu kurzes Passwort, auch wenn hochkomplex, ist halt schnell geknackt. Punkt.
Wenn wir als Menschen in der Lage sind, den Buchstaben "E" durch die Ziffer "3" zu ersetzen, kann das jeder Computer ebenso - halt nur um ein vielfaches schneller.
Die technische Um- und Durchsetzung solcher Richtlinien und Verfahren ist imho nicht das Problem. Das Problem ist eher ein Layer8-Problem - wenn man aber mal ne Schulung dazu gehalten und den Leuten gezeigt hat, dass die Aneinanderreihung von drei nicht korellierenden Nomen, jeweils getrennt durch ein Sonderzeichen und im Zweifel ergänzt um ein paar Ziffern ein sehr starkes, teils über 30 Zeichen langes Passwort (oder besser: eine Passphrase) ergibt und sie sich das tatsächlich merken können, isses gar nicht mehr so schlimm.
Und ja, ich weiß, das obige Szenario lässt sich nicht zu 100% umsetzen. Aber >90% der "Passwortprobleme" lassen sich so lösen. Ohne großen Technik-Einsatz, ohne große Kosten, einfach nur mittels brain.exe und ein wenig Überzeugungsarbeit.
*Just my 5 Cent*
Cheers,
jsysde
in a nutshell:
- Benutzerschulung und Sensibilisierung
- Passwortlänge mindestens 16 Zeichen, Komplexität minimal
- Benutzerschulung und Sensibilisierung
- "unique" Passwörter, keine Wiederverwendung
- Benutzerschulung und Sensibilisierung
- Zwei-Faktor-Authentifizierung muss verbindlich eingesetzt werden
- Benutzerschulung und Sensibilisierung
- Verbindliche Nutzung von Passwort-Managern
- Benutzerschulung und Sensibilisierung
- Passwörter werden nur geändert, wenn eine Kompromittierung vermutet oder nachgewiesen ist
- Benutzerschulung und Sensibilisierung
An Zugangsdaten, auch "nur für den Windows-PC im Büro", hängen mittlerweile vollständige, digitale Identitäten, zumindest in ~90% der Fälle. Entra ID Sync, Exchange Online, Teams, <younameit>... Daher ist ein Schutz dieser Identitäten unerlässlich und das muss vor allem jeder Benutzer erklärt und im Zweifel aufgemalt bekommen.
Entropie ist der Schlüssel, ein zu kurzes Passwort, auch wenn hochkomplex, ist halt schnell geknackt. Punkt.
Wenn wir als Menschen in der Lage sind, den Buchstaben "E" durch die Ziffer "3" zu ersetzen, kann das jeder Computer ebenso - halt nur um ein vielfaches schneller.
Die technische Um- und Durchsetzung solcher Richtlinien und Verfahren ist imho nicht das Problem. Das Problem ist eher ein Layer8-Problem - wenn man aber mal ne Schulung dazu gehalten und den Leuten gezeigt hat, dass die Aneinanderreihung von drei nicht korellierenden Nomen, jeweils getrennt durch ein Sonderzeichen und im Zweifel ergänzt um ein paar Ziffern ein sehr starkes, teils über 30 Zeichen langes Passwort (oder besser: eine Passphrase) ergibt und sie sich das tatsächlich merken können, isses gar nicht mehr so schlimm.
Und ja, ich weiß, das obige Szenario lässt sich nicht zu 100% umsetzen. Aber >90% der "Passwortprobleme" lassen sich so lösen. Ohne großen Technik-Einsatz, ohne große Kosten, einfach nur mittels brain.exe und ein wenig Überzeugungsarbeit.
*Just my 5 Cent*
Cheers,
jsysde
Moin @mbehrens,
ich habe mir das Video bis zu der Stelle angeschaut, als der gute Per bei einer Veranstaltung im Jahr 2022 angefangen hat die National Cybersecurity Alliance Regeln von 2016 für seine Empfehlungen zu zitieren und dann war es mir ehrlich gesagt schon zu viel des guten.
Denn sowohl die National Cybersecurity Alliance ...
https://www.staysafeonline.org/articles/passwords
... als auch NIST ...
https://pages.nist.gov/800-63-3/sp800-63b.html
... und auch das NCSC ...
https://www.ncsc.gov.uk/blog-post/problems-forcing-regular-password-expi ...
... haben ihre Empfehlungen im Bezug auf die Länge und Koplexität eines Passworts, zut Teil sehr gravierend zurückgeschraubt.
Laut der NIST sind sogar 8-Stellige Passwörter OK. 🙃
Gruss Alex
Ich fand diesen Vortrag zu dem Thema recht interessant: Passwords are not going away - Per Thorsheim
ich habe mir das Video bis zu der Stelle angeschaut, als der gute Per bei einer Veranstaltung im Jahr 2022 angefangen hat die National Cybersecurity Alliance Regeln von 2016 für seine Empfehlungen zu zitieren und dann war es mir ehrlich gesagt schon zu viel des guten.
Denn sowohl die National Cybersecurity Alliance ...
https://www.staysafeonline.org/articles/passwords
... als auch NIST ...
https://pages.nist.gov/800-63-3/sp800-63b.html
... und auch das NCSC ...
https://www.ncsc.gov.uk/blog-post/problems-forcing-regular-password-expi ...
... haben ihre Empfehlungen im Bezug auf die Länge und Koplexität eines Passworts, zut Teil sehr gravierend zurückgeschraubt.
Laut der NIST sind sogar 8-Stellige Passwörter OK. 🙃
Gruss Alex
1
