Neue Richtlinie für sichere Passwörter

Das NIST meint: Ein gut zu merkender Satz ist sicherer, als sich regelmässig ein neues Passwort zu überlegen

Datum
31. Mai 2017
Autor

Bis heute haben Sicherheitsverantwortliche ihren Mitarbeitenden vorgeschrieben oder empfohlen, ihre Passwörter regelmässig zu wechseln. Diese Strategie ist häufig kritisiert worden, unter anderem vom britischen Sicherheitsexperten Graham Cluley.

Offensichtlich mit Erfolg. In einem Blogartikel vom 19. Mai 2017 weist Clueley auf eine neue Richtlinie des amerikanischen «National Institute of Standards and Technology» hin. Im Entwurf der neuen Richtlinien für digitale Identitäten (Special Publication 800-63B Digital Identity Guidelines) empfiehlt das NIST, nicht mehr vorzugeben, dass Passwörter regelmässig geändert werden müssten. Ebenso sollten die Zusammensetzung (Gross- und Kleinbuchstaben, Sonderzeichen, Zahlen) nicht mehr vorgeschrieben werden. Die Passwörter sollten mindestens acht Zeichen lang sein. Das NIST empfiehlt, mit Sperrlisten zu arbeiten: Passwörter, die durch einen Hack bekannt geworden, in einem Wörterbuch enthalten oder einfach schlecht sind, sollten nicht verwendet werden dürfen.

Wichtig sei, dass die Anwender die Möglichkeit hätten, 64 Zeichen lange Passwörter aus beliebigen Zeichen, einschliesslich des Leerzeichens, zu vergeben. Die sogenannten memorized secrets sollten einfach und gut zu merken sein. Das Passwort könnte beispielsweise ein Satz sein. Dafür müssten sich die Anwender nicht alle paar Wochen ein neues Passwort überlegen.

Einschätzung

In unserem Artikel «Passwörter: Worauf es wirklich ankommt» haben wir gezeigt, wie schwierig Merksätze und Wortreihen zu knacken sind. Mit der überarbeiteten Passwort-Richtlinie geht das NIST weiter. Mit dem vorliegenenden Entwurf folgt das NIST vielen der genannten Empfehlungen.

Zielgruppen

  • IS- und IT-Sicherheitsverantwortliche
  • Management
  • Interessierte Kreise