Kehrtwende: Passwörter besser nicht regelmäßig wechseln

  • Zitat

    Kehrtwende: Passwörter besser nicht regelmäßig wechseln

    Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von der Empfehlung ab, Passwörter regelmäßig zu ändern. Ein gutes Passwort könne man bedenkenlos über Jahre hinweg nutzen, berichtet Heise.de. Das derzeitige Prozedere verleite die Nutzer dazu, zu simple Passwörter zu verwenden.


    ORF


    HEISE

  • Ist eigentlich "in Fachkreisen" ein alter Hut und wurde von anderen nationalen und internationalen Experten und Institutionen (wie z.B. dem NIST) schon seit langem so propagiert.

    Es hat halt offensichtlich etwas länger gedauert, bis diese Information ins Deutsche übersetzt wurde. :huh:


    Vielleicht wollte man damit aber auch nur warten, bis der BER fertig ist (und hat es dann irgendwann einfach nicht mehr ausgehalten)?!?

    Wir leben alle unter dem gleichen Himmel, aber wir haben nicht alle den gleichen Horizont. (Konrad Adenauer)

  • Passwörter soll man regelmäßig wechseln. Wechseln ist definitiv besser als nicht wechseln.

    Passwörter soll man sich nicht merken! Passwörter soll man in einem Passwort Safe lagern. siehe https://keepassxc.org/

    Passwörter soll man nicht mehrfach verwenden.

    Passwörter soll man nicht mit "Logik" aufbauen. Sonder Random generieren pro Service. Logik kann man mit einem Rechner leicht knacken. JohnTheRipper ist auf genau sowas hinoptimiert. Variationen an Substitutionen zu generieren.


    m3n5ch3n d3nk3n 513 51nd 7074l 5chl4u w3nn 513 50 etxet nereireneg reba otkafed nnak nie retupmoc sad sup3rschn3ll und 0hn3 pr0bl3m3 substitui3r3n.


    Passwörter soll man regelmäßig wechseln. Wechseln ist definitiv besser als nicht wechseln.


    Sonderzeichen, Zahlen und andere Grauslichkeiten sind nicht zwingend notwendig um Komplexität und Entropie zu generieren. Besser ist dafür längere Passwörter zu generieren. statt 8 Zeichen halt gleich 33 Zeichen lang.



    Bei mir generiert mein Keepass diese Art von Passwörtern:


    cFHwERGv74n8CY5nzDuyTGwex2gMdcdK5

    QAiTECHmW5JkapRVkWpm7yB3xMDPXJLcW

    jV6XbeCfGdoPnHKJy8G7yEJFQnFpM7Uez

    dRfvtWEarjfxYR6UMCodnJostLvpY6qFS

    B2oBzSe7gXkgFCRDRk39DNWz34R4WecYb


    Und mein Keepass Master Passwort ist richtig lang. Das eine merk ich mir.


    Diese Passwörter sind auch regelmäßig zu wechseln. Wobei hier wohl 3-10 Jahre genügen, statt strikt immer nach 3 Monaten.


    Das mit 3 Monaten führt dazu, dass User sich Ihre Passwörter auf zettel unter der Tastatur oder postit am bildschirm aufschreiben und möglich kurze passwörter zu verwenden. Teile Wiederzuverwenden, etc... Oder für zig diverse accounts gleichzeitig alle passwörter mit einem passwort durchwechseln.


    Zitat

    Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.


    Sonderzeichen in Passwörter kommt daher, dass es "damals" genau eine Handvoll Computer gab. Und wenn man US Sonderzeichen verwendete, konnte ein Russischer Hacker schonmal garnicht mehr so einfach das Passwort eintippen, weil er die falsche Tastatur hatte.

  • Ich hab' der Einfachheit die Aussagen, auf die ich eingehen möchte, durchnummeriert.


    ad a) Falsch. So gut wie jeder anerkannte Sicherheitsforscher ist mittlerweile zu dieser Einsicht gekommen

    ad b) Teilweise falsch. Ich bin relativ gut darin, mir sichere Passwörter zu merken. Das hat allerdings auch den Grund, weil ich e) beherzige. Ein kurzer Merksatz (>20 Zeichen) ist besser als jedes Passwort mit 12 Zeichen oder weniger!

    ad c) Jein. Wichtige Passwörter (also alles, was nur im Entferntesten mit Geld oder privaten Daten zu tun hat: Ja; Es gibt aber auch Websites, die relativ grundlos ein Passwort benötigen (z.B., um irgendwo Bewertungen oder Kommentare abgeben zu können). Da schadet es herzlich wenig, wenn ich Passwörter recycle.

    ad d) Siehe a.

    ad e) d' accord

    ad f) Immer noch falsch. Siehe e) Es wird auch nicht richtiger, wenn man es zweimal wiederholt!

    Wir leben alle unter dem gleichen Himmel, aber wir haben nicht alle den gleichen Horizont. (Konrad Adenauer)

  • ad a) Falsch. So gut wie jeder anerkannte Sicherheitsforscher ist mittlerweile zu dieser Einsicht gekommen

    Und der Grund wäre? Regelmäßig ist relativ. Alle 3 oder 5 Jahre mal passwörter neu generieren und hinterlegen. ein 33 stelliges random pw auf ein neues 33 stelliges pw wechseln. oder passwörter länger machen. erklär mir da mal was daran schlecht ist. Es gibt da jetzt nichts negatives dran.


    Das Risiko wäre, in den letzten 3 jahren hast du dein pw auf einer Seite verwendet. Die seite wurde mit sqli oder anderen tricks geknackt und die hash tables ausgelesen. potentiell wurden in den drei jahren jetzt gemächlich die hashes geknackt. Tja, blöd dann.

    Das fängt man mit einem "regelmäßigem" Passwort Wechsel ab.

    Die zitierten Sicherheitsforscher meinen dazu, es macht keinen sinn stupide alle 1-3 monate zwanghaft Passwörter zu wechseln weil mans muss. Ein sicheres Passwort mal zu erneuern ist aber nicht schlecht deshalb. Das jetzt überschießend zu verteufeln ist nicht schlau. Maß und Ziel.


    ad b) Teilweise falsch. Ich bin relativ gut darin, mir sichere Passwörter zu merken. Das hat allerdings auch den Grund, weil ich e) beherzige. Ein kurzer Merksatz (>20 Zeichen) ist besser als jedes Passwort mit 12 Zeichen oder weniger!

    Das ist für dich vielleicht praktikabel und sicher genug. Aber es ist kein Leitsatz den man befolgen sollte. Wenn man c) beherzigt kann man das nicht mehr ernsthaft machen.


    mehrere Hunderte Passwörter und auch noch über längere zeit hinweg auswendig zu wissen. Wenn das ein gangbarer weg wäre, ist es aber nicht. kann sich keiner merken wenn er ehrlich ist. nicht wenn die random und lange sind.

    So Wald und Wiesen User vergessen ja schon immer wieder Ihre 4 stellingen Handy Pins.

    Weil sich User schlecht Passwörter und Pins merken, Gesten aber leichter geläufig bleiben, werden Handys mit Wischgesten entsperrt.

    Passwort Merken ist kein Guter Rat.


    Keepass Master Passwort und mein FDE LUKS Passwort hab ich im kopf und nirgends notiert und sind lange random phrasen.



    c) Passwort reuse ist das Grundübel schlechthin. da gibts nix zu rütteln.



    a), d) und f) welchen Grund könnte es geben der schlecht ist für das erneuern eines "sicheren" und "langen" und "einmalig vergebenen" Passworts.

  • Also bei diesem Thema bin ich absolut unterpreppert...

    Was sollte jemand mit meinem Passwort wollen? Am Computer/ im Netz hab ich glaub ich nichts, wovon wer anderer profitieren kann!


    Oder?

  • Onlinebanking? Kreditkarte? Shopping bei Amazon und Co? Mit der falschen Identität verbotene Sachen wie Drogen kaufen?


    Doch, gibt schon Dinge, die unangenehm sein können

  • rand00m : Ich würde da einfach mal die Lektüre von relevanten Sicherheitsforschern empfehlen. Bruce Schneier z.B. (hat seinen monatlichen Newsletter - Cryptogram - den man gratis abonnieren kann).

    Er hat z.B. den Passwortwechselfimmel schon 2010 relativ deutlich kritisiert: https://www.schneier.com/blog/…0/11/changing_passwo.html

    Und in Zeiten, wo man für kritische Systeme sowieso 2FA einsetzt, ist diese Empfehlung (Passwörter regelmäßig zu wechseln) in etwa so relevant wie Omas Rat, nach dem Essen von Obst kein Wasser zu trinken (war vor dem 2. WK ja eine sinnvolle Maßnahme. Aber seit wir nicht mehr aus dem Bach trinken sondern klares, hygienisch einwandfreies Leitungswasser konsumieren, ist es eben nur mehr eine antiquierte Vorstellung)...


    Zur Länge und "muss random" sein von Passwörtern:

    Die Sicherheit von Passwörtern steigt mit zunehmender Entropie. Brute Force funktioniert nur bis zu einer gewissen Länge - und die ist sehr begrenzt!


    Wenn ich mal ein 10-stelliges Passwort mit Buchstaben, Zahlen, Satz- und Sonderzeichen hernehme, so gibt es (ungefähr) 70^10 bis 90^10 verschiedene Kombinationen - je nachdem, wie viele Sonderzeichen ich zulasse.

    Ein Satz mit vier Wörtern hat ca. 75.000^4 bis 500.000^4 Kombinationsmöglichkeiten (je nachdem, wie viele Wörter und Lexeme man zu Grunde legt). Also im ungünstigsten Fall (90^10 vs. 75.000^4) etwa gleich gut, im ungünstigsten Fall (70^10 vs. 500.000^4 ) ist der Merksatz 1.800 mal sicherer. Von fünf oder mehr Worten rede ich da noch gar nicht.

    Davon ausgehend, dass ich auch noch mehrere Sprachen zumindest so la la beherrsche, Phantasiewörter einbauen kann, L33T in dieser Rechnung noch nicht berücksichtigt ist und auch keine Satzzeichen o.ä., gewinnt der Merksatz eigentlich immer gegen ein herkömmliches Passwort. Und ich kann ihn mir merken, auch über Jahre hinweg. Wenn ich den Merksatz intelligent wähle (also mir eine Eselsbrücke zum jeweiligen System baue), ist der Satz (der übrigens - nota bene - nicht grammatikalisch korrekt sein muss) leicht zu merken.


    Hinzu kommt, dass Passwörter mit Sniffern einfacher zu herausfiltern sind. "dE)(i86du3hbndö" ist schnell mal aus dem Zeichenstrom als möglicher Kandidat für ein Passwort herausgefiltert.

    "Ich hatte heute einen - seltsamen - Traum" oder "Er war ein Opfer der Proporzregierung" hingegen nicht. Und ist immer noch sicherer als ein 15-stelliges "random"-Passwort.


    Hinzu kommt: Ich habe ja nicht gesagt, dass ich keine Passworttresore verwende. Nur halt nicht Keepass, sondern Clipperz. Ist aber eher eine Geschmacksfrage. Ob allerdings ein Passwortmanager die Sicherheit wirklich erhöht (immerhin: Hat der Angreifer Zugang zu deinem PWD-Speicher, hat er Zugang zu allen Passwörtern) ist auch so eine Frage.

    Passwörter auf Papier aufgeschrieben sind daher nicht mal die blödeste Idee. Papier kann man weder hacken noch unbemerkt mit Gerichtsbeschluss konfiszieren o.ä.

    Es hat schon seinen Grund, warum der FSO/FSB/Inlandsgeheimdienst/... in Russland zumindest in hochsensiblen Bereichen mittlerweile wieder mit mechanischen Schreibmaschinen arbeitet.


    Und das mit dem Passwortrecyceln: Wenn man es wirklich nur für low-level-Anwendungen nimmt (z.B.: um hinter Privacy-Walls von Nachrichtenseiten zu kommen, wo man weder personenbezogene Daten noch Zahlungsdienstinformationen angibt) ist der GAU, dass ich mich bei ein paar Seiten neu registrieren muss. So what?!? Ich muss halt vermeiden, faul zu werden und irgendwann auch für kritischere Seiten bzw. für Apps oä. anzuwenden.

    Wir leben alle unter dem gleichen Himmel, aber wir haben nicht alle den gleichen Horizont. (Konrad Adenauer)

    Einmal editiert, zuletzt von Bardo Thodol ()

  • Onlinebanking? Kreditkarte? Shopping bei Amazon und Co? Mit der falschen Identität verbotene Sachen wie Drogen kaufen?


    Doch, gibt schon Dinge, die unangenehm sein können

    kreditkarte hab ich nicht. Onlinebanking (zwei Codes) geht nur abbuchen mit dem und extra app mit zusatzcode. Amazon braucht es auch zwei Codes. Somit ist eh alles doppelt geschützt, oder? 🤔

  • Eben. Dank Zweifaktorauthentifizierung (2FA) ist die Hürde für "Marvin" (so oder so ähnlich wird in der Kryptographie gerne der Angreifer genannt) viel höher geworden.

    Oder, anders ausgedrückt: Die Wichtigkeit eines sicheren Passwortes ist heute niedriger als noch vor einigen Jahren. Heutzutage gewinnen eher Fragen wie Gerätesicherheit, Vertrauenswürdigkeit der Apps udgl. an Gewicht.


    Klar sollte man immer noch gute Passwörter verwenden. Aber vernünftig implementierte 2FA ist sicherer als jedes Passwort.

    Wir leben alle unter dem gleichen Himmel, aber wir haben nicht alle den gleichen Horizont. (Konrad Adenauer)

  • Schneier is mir ein Begriff, hab sogar ein Buch von Ihm zuhause (und auch gelesen).


    In dem verlinkten Blogpost steht ja sogar man solls hie und da mal wechseln. Das meine ich auch. Draus ein "nicht" umzuformulieren ist übers ziel geschossen.


    Bruce empfiehlt in dem Post auch Passwörter zu speichern/niederzuschreiben.


    WortCombos/Merksätze sind besser als Passwörter.

    Merksätze zu merken skaliert aber auch nicht. Deshalb wo abspeichern. Sonst kommt man wieder in die Verlegenheit zu recyceln.


    Mein LUKS und meine passwort safes haben auch wortcombos.


    Ein Passwort Safe ist meiner Meinung nach immer besser als kein Passwort Safe. Das Gehirn (Ausnahmen bestätigen die Regel) archiviert Wissen irgendwann weg. Also lange nicht benutzte Passwörter vergisst man. Die Anzahl an verschiedenen Passwörtern zu Account Combos ist beschränkt.


    Hat der Angreifer Zugang zu deinem PWD-Speicher, hat er Zugang zu allen Passwörtern) ist auch so eine Frage. <= Hat der Angreifer lokalen Zugang auf das File, dann ist der Passwortspeicher schon nicht mehr das Problem.


    https://clipperz.com/ muss ich mir mal genauer ansehen. Die anderen Online passwort Safes haben alle ihre JS Breaches schon gehabt.

    Aktuell bin ich mit https://keepassxc.org/ glücklich. verschlankte Guifunktionen im Vergleich zu Keepass2.0, endlich Cross-Plattform Kompatibel (keine Mono dependencie auf Debian), Firefox/Edge/Chrom Plugin Integration.

  • Der Vorteil von Keepass (inkl. den Ablegern) ist, dass es lokal läuft, ohne Cloud.

    Der Nachteil von Keepass ist, dass es plattformabhängig ist.


    Der Vorteil von Clipperz ist, dass man von jedem Browser aus darauf zugreifen kann, und dass man auch lokale Kopien davon anlegen kann (und auch offline darauf zugreifen).

    Der Nachteil ist, dass man die Wahl hat: Selber einen Server aufsetzten und eine leider sehr alte Version auf seinem Server zu installieren, oder man muss der Cloudplattform vertrauen.


    Ich habe relativ lange selbst einen Server mit Clipperz betrieben. Leider hat die Warnung, dass die "Community Edition" nur für Testzwecke bzw. zu Ausbildungszwecken taugt, ihre Berechtigung.

    Daher bin ich auf die Cloudvariante (https://clipperz.is/app bzw. https://clipperz.com/app) umgestiegen.

    Wir leben alle unter dem gleichen Himmel, aber wir haben nicht alle den gleichen Horizont. (Konrad Adenauer)

  • Bei mir in der Firma haben wir 2 Passwörter (einmal für den PC Zugriff an sich und eins für Mail), die man alle 90 Tage ändern muß. Letzten Zyklus hab ich Blumen plus Monat plus Jahr durchgenommen, jetzt bin ich bei Göttern plus Monat plus Jahr. Lange Passwortphrasensätze wären auch mMn vernünftiger, weil man sich das merken kann, es abzuschauen beim Eingeben eher komplizierter macht für den "Abschauer", je länger das ist ... aber nunja, immerhin kriegen wir brav Mails, wo gewarnt wird, unbekannte Mails (mit Fake-Rechnungen und co) nicht zu öffnen - was eine Kollegin dennoch gemacht hat mit dem ARgument "Naja, der Betrag war so hoch" ... war lustig anzusehen, wie panisch sie war, weil ja jetzt alles ihre Schuld ist (PC wurde neu aufgesetzt und es ist gut ausgegangen, hätte aber das gesamte EDV System der Post lahmlegen können ...)

  • 2FA-Lösungen (wir haben in der Firma Smartcard+Passwort; Da die Smartcard u.a. auch für die Bewegung im Gebäude (bei Stockwerkswechsel) und für die Zeiterfassung notwendig ist, ist ein "Steckenlassen im PC" keine Option, und man hat sie quasi immer mit.


    Vorher hatten wir auch dieses tolle Passwortrotationssystem. Noch dazu mit vielen verschiedenen Systemen (Mail, ERP-System, HR-System, ...). Was de facto dazu geführt hat, dass jeder überall das selbe Passwort verwendet hat (wer merkt sich denn schon so viele unterschiedliche Passwörter, noch dazu bei regelmäßigem Wechsel), und dass die Passwörter relativ einfach gestrickt waren.

    Wir leben alle unter dem gleichen Himmel, aber wir haben nicht alle den gleichen Horizont. (Konrad Adenauer)

  • Ich dachte auch lange, ich sei zu unwichtig um gehackt zu werden. Dann wurde mein Mail Account gehackt um davon Spammails zu verbreiten.... Passwort geändert und Spuk vorbei.