Sichere Passwörter – Weg mit den strengen Passwortregeln!

Sichere Passwörter – Weg mit den strengen Passwortregeln!

Der Weisenrat für Cybersicherheit ist sich einig: Komlexe Passwörter und ausufernde Vorgaben bringen mehr Risiken mit sich als man denkt. Im Jahresbericht dieses Gremiums heißt es nun Ende Juli 2020, dass es Situationen gäbe, in welchen strengere Regeln und ausgefallene Passwörter die Sicherheit sogar verschlechtern können.
Der Glaube, Passwörter müssen mindestens 8 Zeichen lang sein, aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen, hat nun endlich ein Ende. Nutzer können sich darüber freuen, sich nicht mehr fast unmerkbare, komplizierte Passwörter einprägen zu müssen!

Der Weisenrat für Cybersicherheit besteht seit 2019 und wird vom Cyber Security Cluster Bonn koordiniert. Der Verein besteht aus Unternehmen wie Bechtle, Deutsche Telekom, IBM und die Deutsche Post DHL, sowie auch wissenschaftlichen Einrichtungen wie verschiedene Fraunhofer-Institute, aber auch aus öffentlichen Stellen.

Endlich dürfen auch Passwörter altern

Neueste Erkenntnisse zeigen, dass ein regelmäßíger Wechsel von Passwörtern das Risiko gehakt zu werden eher erhöht, anstatt verringert. Darüber hinaus betont Matthew Smith, Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, es sei viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmäßig zu wechseln. Demnach ist ein Wechsel nur dann zu empfehlen, sollte es Anzeichen auf eine Ausspähung oder Kompromittierung des Passworts geben.

Laut Smith spiele das Passwortalter in den jüngsten Richtlinien des Bundesamts für Sicherheit der Informationstechnik (BSI) bereits keine Rolle mehr. Er fordert das BSI aber auf, den Behörden und Unternehmen einheitliche Vorgaben für die Erstellung von Passwortrichtlinien zu machen. Man solle sich dabei an den Empfehlungen des Open Web Application Security Projects (OWASP) und des US-amerikanischen National Institue of Standards an Technology (NIST) orientieren.

Diese Institute räumen bereits seit längerer Zeit den Anwendern mehr Freiheiten bei der Wahl des Kennworts ein. Hierdurch gehören komplizierte Konstruktionen aus Ziffern und Sonderzeichen der Vergangenheit an und es werden lediglich längere Passphrasen gefordert.

Der Verschlüsselung geht es an den Kragen

Auch der Umgang mit Verschlüsselungstechnologien wird im Jahresbericht des Weisenrats für Cybersicherheit überdacht: „Kryptografische Verfahren, Schlüssellängen und Zufallszahlengeneratoren, die heute sicher sind, können morgen schon unsicher sein“, sagte Prof. Claudia Eckert, Leiterin des Fraunhofer AISEC und des Lehrstuhls für Sicherheit in der Informationstechnik an der TU München, wie heise.de berichtete.

Neue Technologien im Bereich des Quantencomputing führen dazu, dass bewährte Verschlüsselungsverfahren wie RSA zu unsicheren Standards werden. Es werden daher IT-Lösungen empfohlen, die eine lange Lebenszeit haben. Verwendete Algorithmen sollen ausgetauscht oder vorhande Hardwarekomponenten neu programmiert werden können. Diese Vorgehensweise stellt eine Möglichkeit dar, auf neue technische Herausforderungen adäquat zu reagieren.

 

 

Christoph Renk
Christoph Rank
Senior Consultant Datenschutz & Compliance