Passwort, Passphrase, 2FA, MFA – was denn nun?

 

Was ist denn jetzt eigentlich genau ein sicheres Passwort, welche Passwortrichtlinie ist die richtige? Die Antwort ist gar nicht so einfach. Beginnen wir doch mal so: Es war einmal…

Jahrelang kannte man die gängige Passwortrichtlinie: Länge mindestens 8 Zeichen, Administratoren vielleicht sogar zwölf oder mehr, Buchstaben, Groß- und Kleinschreibung, bestenfalls noch eine Zahl und Sonderzeichen, Gültigkeit 90 Tage. Dazu kamen noch zusätzliche Vorgaben, wie keine Begriffe aus dem Wörterbuch, keine Namen, keine gängigen Tastenkombinationen wie QWERTZ oder 12345PW.

Danach folgte der Werdegang zur Passphrase: eine zum Passwort längere Zeichenkette bestehend aus mehreren Begriffen bzw. auch Anfangsbuchstaben derer. Wegfall von Gültigkeitsdauer, es sei denn der Verdacht einer Kompromittierung liegt vor, mit dem Ziel, dass sich Nutzer Ihre Zugangsdaten nicht mehr aufschreiben würden.

Dazu immer aktuell orientierend die Empfehlungen der National Institutes of Standards & Technology (NIST), des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesverbands IT-Sicherheit e.V. (TeleTrust).

Heutzutage entwickeln sich die Anforderungen wieder zurück. Kurze Passwörter sind ausreichend und eine Komplexität ist nicht notwendig. Was am Ende des Tages die Sicherheitspolitik umgedreht und bei so einigen sicherlich für Verwirrung gesorgt hat.

Aber genau hier setzt die Informationssicherheit an: Analyse des Umfeldes sowohl in Bezug auf die Technik als auch auf den Nutzer. Was ist passiert?

Vor Jahren machte das Hacken, also Raten oder Knacken von Passwörtern, die größte Angriffsfläche aus. Gefolgt vom Auslesen der Passwort-Hashes. Wem der Begriff „Mimikatz“ bekannt ist, dem sollte klar sein, worum es geht. Heute stehen wir vor anderen Herausforderungen wie Phishing oder Social Engineering. Der Versuch, mit gefälschten Internetseiten oder E-Mails an Informationen zu kommen oder die Beeinflussung des zwischenmenschlichen Verhaltens zur Informationsgewinnung steigt enorm. Zudem hat man festgestellt, dass lange und komplexe Passwörter wesentlich häufiger aufgeschrieben und mehrfach verwendet werden, was dann nicht nur ein einziges System, sondern gleich mehrere betrifft.

Statt der ursprünglich langen Passwörter oder Passphrasen mit hoher Komplexität geht es also wieder zurück zu einfachen Passwörtern, diesmal jedoch ergänzt durch eine Zwei-Faktor-Authentisierung (2FA) bzw. Multi-Faktor-Authentisierung (MFA).

Und jetzt kommen wir als Consultant oder auch die IT-Abteilung daher und verlangen für jegliche Zugänge eine Mehr-Faktor-Authentisierung. Sicherlich ist dies eine der erhöhten Schutzmaßnahmen, doch der Unmut über die Usability ist zu hören.

Aber kürzen wir an dieser Stelle ab, auch wenn man in das Thema „Passwortrichtlinien“ noch deutlich tiefer einsteigen könnte. Alleine zu den Fragen, woran der Endnutzer erkennt, dass ein Passwort kompromittiert ist oder ob man nicht doch wieder zur regelmäßigen Passwort-Änderung zurückkehrten sollte, könnte man ewig weiterdiskutieren.

Fazit: Eine Allround-Antwort zu der Frage „Was ist denn jetzt ein sicheres Passwort?“ gibt es nicht.
Es bedarf einer verbindlichen Regelung unter Berücksichtigung der verarbeitenden Informationen. Dabei ist die Passwortqualität und -Komplexität abzustimmen und zu bewerten, ob weitere Authentisierungsverfahren eingesetzt werden sollten. Und man darf eines nicht vergessen: Zu einem funktionierenden Identitäts- und Berechtigungsmanagement gehört weitaus mehr – begonnen mit der strukturierten Verwaltung von Benutzerzugängen bis zur Sensibilisierung von Mitarbeitern.