Komfort und Akzeptanz durch flexible Passwortregeln
Kein Einheitsbrei
Authentisierungsverfahren sollten die Rolle der Benutzer und ihre Umgebung berücksichtigen. So lassen sich Benutzungskomfort und Sicherheit besser balancieren als durch Regeln, die für alle und überall gleichermaßen gelten.
Seit Jahrzehnten vertraute und lieb gewonnene Vorgaben zum regelmäßigen Wechseln von Passwörtern sollen plötzlich nicht mehr sinnvoll sein. Das behauptet William Burr, ein Autor der Passwortregeln des National Institute of Standards and Technology (NIST) aus dem Jahr 2004, heute (siehe ix.de/ix1806098, [a]). In einem Interview mit dem Wallstreet Journal im Sommer 2017 [b] revidierte er einige bis dahin allgemein akzeptierte Vorgaben.
Dabei bezieht er sich darauf, dass viele Benutzer ihre Passwörter alle zwei bis drei Monate ändern müssen – basierend auf einer (Fehl-)Interpretation des Standards. Das wiederum führe dazu, dass einfache Kombinationen gewählt oder komplexere Varianten auf Zetteln beispielsweise unter Tastaturen „versteckt“ würden. Dieses Vorgehen schade der Sicherheit, statt sie zu verbessern.
Eigentlich besagt der Standard seit seiner Erstveröffentlichung lediglich, dass zyklische Wechsel eine geringere Entropie (also „Unordnung“ oder Komplexität) von Passwörtern kompensieren können. Dazu müsse die Gültigkeit kürzer gewählt sein als die Mindestdauer eines erfolgreichen Brute-Force-Angriffes. Dieser – im Standard allgemein gehaltene – Hinweis führte in der Vergangenheit zu der Interpretation, Passwörter seien regelmäßig zu ändern, um als sicher zu gelten.
Gegenseitiges Unverständnis bei Passwörtern
Die Gestaltung von und der Umgang mit Passwörtern sind ohnehin immer wieder ein Stein des Anstoßes. Wenn Verantwortliche für IT-Sicherheit auf lange und komplizierte Passwörter drängen, müssen Benutzer sich mehrere komplexe Zeichenketten wie „Q)?&R3*e@J+/e&g“ merken – alle drei Monate erneut. Und wozu diesen Aufwand betreiben, wenn Passwörter nicht wirklich sicher sind? Schließlich berichten Medien immer wieder von Millionen geknackten Passwörtern. Das gegenseitige Unverständnis zwischen Sicherheitsfachleuten und Nutzern könnte kaum größer sein.
Bislang erfolgt die Auswahl von Authentisierungsmethoden in der Regel nach dem Einheitsprinzip: Alle Benutzer unterliegen – unabhängig von ihrer Funktion – denselben Richtlinien. In Unternehmen mit ausgeprägter Sicherheitskultur müssen sich alle Benutzer gleichermaßen via Zwei-Faktor-Authentisierung (zum Beispiel Passwort und Token) anmelden. Sie fragen sich, ob das wirklich nötig ist, wenn sie beispielsweise nur einen Kantinenplan bearbeiten wollen. In anderen Organisationen hingegen meldet sich jeder mit einem siebenstelligen Passwort an. Das wirft die Frage auf, ob nicht wenigstens administrative Zugriffe besser abgesichert sein sollten. Keine der beiden Vorschriften ist dabei per se falsch.