- NIST plant, „Anforderungen zur Erstellung von Passwörtern aus verschiedenen Zeichentypen“ und „Anforderungen zum regelmäßigen Passwortwechsel“ zu verbieten. Diese gelten als Schwachstellen der Cybersicherheit
Passwortanforderungen
- Prüfer und CSPs müssen verlangen, dass Passwörter mindestens 8 Zeichen lang sind; empfohlen wird eine Mindestlänge von 15 Zeichen SHALL
- Prüfer und CSPs sollten eine maximale Passwortlänge von mindestens 64 Zeichen zulassen SHOULD
- Prüfer und CSPs sollten in Passwörtern alle druckbaren ASCII-Zeichen sowie Leerzeichen zulassen SHOULD
- Prüfer und CSPs sollten Unicode-Zeichen in Passwörtern zulassen. Bei der Bewertung der Passwortlänge sollte jeder Unicode-Codepunkt als einzelnes Zeichen gezählt werden SHOULD
- Prüfer und CSPs dürfen keine weiteren Zusammensetzungsregeln für Passwörter auferlegen (z. B. die Anforderung einer Mischung verschiedener Zeichentypen) SHALL NOT
- Prüfer und CSPs dürfen Nutzer nicht dazu verpflichten, ihr Passwort regelmäßig zu ändern SHALL NOT. Wenn es jedoch Hinweise auf eine Kompromittierung des Authentifikators gibt, muss der Prüfer eine Änderung erzwingen SHALL
- Prüfer und CSPs dürfen es Abonnenten nicht erlauben, Hinweise zu speichern, auf die nicht authentifizierte Anspruchsteller zugreifen können SHALL NOT
- Prüfer und CSPs dürfen Abonnenten bei der Passwortwahl nicht dazu auffordern, wissensbasierte Authentifizierung (KBA) oder Sicherheitsfragen zu verwenden SHALL NOT
- Der Prüfer muss das vollständig eingegebene Passwort validieren (d. h. es darf nicht abgeschnitten werden) SHALL
Weitere Punkte
- Problem der bisherigen Regeln: Früher gab es Probleme damit, dass Unicode-Zeichen auf bestimmten Plattformen nicht korrekt gespeichert wurden. Heute bietet Unicode jedoch mehr Entropie
- Neue Anforderungen: Die neuen NIST-Richtlinien sollen die Anforderung enthalten, beliebige Unicode-Zeichen zuzulassen. Das ist essenziell für Software, die Internationalisierung (i18n) beansprucht
- Passwort-Zusammensetzungsregeln: NIST ändert die Einstufung von Passwort-Zusammensetzungsregeln von „nicht empfohlen“ zu „nicht erlaubt“. Das ist ein wichtiger Schritt zur Stärkung der Sicherheit
- Konflikt mit Industriestandards: Einige Industriestandards (z. B. PCI, ISO 27001:2022) enthalten weiterhin Anforderungen, die im Widerspruch zu NIST stehen. Das erschwert es Unternehmen, die neuen NIST-Regeln zu befolgen
- Nutzung von Passwortmanagern: Passwortmanager sind nicht nur auf Websites, sondern auch in verschiedensten Systemen nützlich. Es gibt auch Methoden, das Master-Passwort über Hardware-Token oder biometrische Authentifizierung einzugeben
- Begrenzung der Passwortlänge: Längenbegrenzungen für Passwörter sollen die Erschöpfung von Ressourcen in Authentifizierungssystemen verhindern. Zu niedrige Grenzen können die Sicherheit jedoch stark einschränken
GN⁺-Zusammenfassung
- Die neuen Passwortregeln von NIST stärken die Sicherheit, indem sie bisherige unnötige und schädliche Sicherheitsanforderungen abschaffen.
- Die Zulassung von Unicode-Passwörtern wird für internationale Nutzer sehr hilfreich sein.
- Durch Konflikte mit einigen Industriestandards könnte es für Unternehmen schwierig sein, die neuen Regeln umzusetzen.
- Passwortmanager sind in verschiedensten Systemen nützlich und können die Sicherheit durch Hardware-Token zusätzlich erhöhen.
- Begrenzungen der Passwortlänge sollen Ressourcenerschöpfung verhindern, doch zu kurze Limits können Sicherheitsprobleme verursachen.
14 Kommentare
Bei Stellen mit einer kurzen maximalen Länge ist das eher problematisch.
Tatsächlich gilt bei Passwörtern:
gutesMittagsmenü0212341234Tagesangebot1PortionmitKartebitteSelbst wenn es eine Kombination aus „bereits existierenden Wörtern“ ist, steigt die Schwierigkeit sprunghaft an, sobald mehrere davon aneinandergereiht werden.
Bei uns im Unternehmen wurden die Richtlinien Anfang dieses Jahres ebenfalls geändert, sodass man jetzt einfach vier oder mehr beliebige englische Wörter aneinanderreihen muss.
Deshalb beginne ich meinen Tag jeden Morgen damit, beim Eintippen ein Zitat zu schreiben.
Sogar Coupang, dessen Entwicklerkultur angeblich noch vergleichsweise besser sein soll, hat die Passwortlänge stillschweigend auf 16 Zeichen begrenzt, ohne irgendein visuelles Feedback. Es gab auch keine E-Mail zur Passwortänderung, und weil ich mich ohne jeden ersichtlichen Grund nicht mehr einloggen konnte, dachte ich, ich wäre gehackt worden.
Es gibt wohl auch im Entwicklungsbereich viele verschiedene Teilgebiete. Sicherheit oder Barrierefreiheit scheinen dabei typische Bereiche zu sein, die nicht behandelt werden. Wenn man nur ein wenig von der Mühe, die in Dark Patterns gesteckt wird, ...
Wie ich gerade überprüft habe, wurde die Obergrenze nun auf 20 Zeichen angepasst. Allerdings wird auf der Registrierungs-Webseite die Passwortlänge weiterhin ohne jeglichen Hinweistext oder visuelles Feedback zum Passwort eingeschränkt, und auf der Login-Webseite gibt es überhaupt keine Begrenzung. Dagegen werden auf der Seite zum Ändern des Passworts in der Android-App die Passwortregeln klar angegeben. Es wirkt so, als ob das Android-Team und das Web-Frontend-Team nicht richtig abgestimmt sind.
Ich halte das für ein typisches Phänomen der Silo-Bildung.
Irgendwie wird davon nichts richtig eingehalten...
Falls hier UI-Verantwortliche mitlesen: Bitte schafft auch die UI ab, die bei der Passworteingabe die Eingabe über eine auf dem Bildschirm angezeigte virtuelle Tastatur erzwingt.
Ursprünglich wurde das wohl eingeführt, um zu verhindern, dass Passwörter durch Keylogger offengelegt werden, aber heute ist das Risiko viel größer, dass Passwörter durch die überall herumhängenden Kameras aufgenommen und dadurch offengelegt werden.
Jedes Mal, wenn ich so etwas sehe, bin ich irritiert, und es ist seltsam, dass so eine UI immer noch beibehalten wird.
Vermutlich hat man schon vergessen, dass das wegen Keyloggern eingeführt wurde, und ich vermute, man macht es einfach nach, weil es alle anderen auch so machen.
Das liegt daran, dass es sich um staatliche Sicherheitsrichtlinien handelt. Es gibt wohl kein Unternehmen, das unbedingt eine virtuelle Tastatur einbauen möchte.
Auch bei verschiedenen Standardzertifizierungen gibt es viele, bei denen virtuelle Tastaturen verpflichtend sind. Diese haben mehr Detailanforderungen, als man denkt, und wenn man nicht das Produkt (SDK) eines bestehenden Anbieters nutzt, der das bereits umgesetzt hat, dauert die Prüfung länger oder man wird sogar abgelehnt. Ehrlich gesagt wirkt das fast wie ein Kartell der Sicherheitsunternehmen.
Das ist nicht nur bei öffentlichen Einrichtungen so; auch technologiegetriebene Unternehmen wie Naver und Coupang machen das, was es noch frustrierender macht.
Tun sie das dort nicht nur widerwillig, weil die Regierung es ihnen vorschreibt?
Websites, die die maximale Passwortlänge auf etwa 12 Zeichen beschränken oder keine Sonderzeichen erlauben, nutze ich nur ungern. Das wirkt auf mich wie eines der Signale dafür, dass man Sicherheit nicht ernst nimmt.
Hacker-News-Kommentare
NIST liefert seit 2017 Leitlinien zur Lockerung von Regeln für die Passwortzusammensetzung
NIST legt zwar keine Richtlinien fest, aber viele andere Richtlinien verweisen auf NIST 800-63
Bei Website-Anmeldungen waren Regeln wie "Ein gutes Passwort muss a, b, c verwenden" extrem nervig
NIST verbietet auch 'Sicherheitsfragen' (z. B. "Wie lautet der Mädchenname Ihrer Mutter?")
NIST hat jahrzehntelang schlechte Passwort-Richtlinien gegeben und wechselt erst jetzt zu einer vernünftigeren Lösung
Wegen Problemen mit bcrypt scheint die Anforderung entstanden zu sein, "das gesamte eingegebene Passwort zu verifizieren"
NIST empfiehlt eine maximale Passwortlänge von 64 Zeichen (viele Websites begrenzten auf 20 Zeichen, wodurch Passphrasen unmöglich wurden)
Die Geschichte eines Nutzers:
Es gibt eine Debatte darüber, ob das Erzwingen bestimmter Zeichen die Entropie erhöht oder verringert
Ich warte darauf, dass NIST Klartext-Passwörter durch PAKE ersetzt und das W3C dafür einen Mechanismus bereitstellt
Originallink: NIST SP 800-63b