Nach den aktualisierten Kennwortempfehlungen von Microsoft hat auch das National Institute for Standards and Technology (NIST) seine eigenen aktualisierten Kennwortrichtlinien veröffentlicht. Diese Empfehlungen stimmen in vielen Punkten mit den Empfehlungen von Microsoft überein und verleihen ihnen daher zusätzliche Glaubwürdigkeit; in einigen Bereichen gehen sie sogar noch weiter. Wenn zwei wichtige Vertreter der Sicherheitsbranche unabhängig voneinander zu so ähnlichen Schlussfolgerungen kommen, ist dies ein deutliches Signal, dass Unternehmen ihre Passwortrichtlinien gründlich überprüfen sollten - sowohl für ihre internen Systeme als auch für ihre nach außen gerichteten Dienste, die einen Identitätsspeicher haben.
Warum das NIST-Dokument wichtig ist
Was ist diese neue NIST-Veröffentlichung? SP 800-63-3 trägt den Titel "Digital Authentication Guideline" (Leitfaden zur digitalen Authentifizierung) und definiert die Anforderungen zur Erfüllung von vier Sicherheitsstufen (LOAs - der Grad, in dem Sie sicher sind, dass ein Unternehmen das ist, was oder wer es vorgibt zu sein). Eines der Dokumente, SP 600-63-3B, trägt den Titel "Authentication & Lifecycle Management" (Authentifizierungs- und Lebenszyklusmanagement) und befasst sich mit Passwortrichtlinien.
Warum ist dieses Dokument so wichtig? Eine der vielen Aufgaben des NIST ist die Erstellung von Richtlinien für den öffentlichen Sektor, d.h. für alle Anwendungen in der Bundesverwaltung. Viele der Richtlinien sind nur Empfehlungen, aber eine Reihe von ihnen sind Anforderungen, die alle Anwendungen befolgen müssen. Das ist ein weitreichender Einfluss - aber er geht noch weiter, denn viele andere Branchen und Unternehmen folgen diesen Richtlinien.
Schauen wir uns die NIST-Empfehlungen an, wie sie im Vergleich zu den Empfehlungen von Microsoft aussehen und wo NIST noch weiter geht. Ein gemeinsames Thema in beiden Empfehlungen ist eine größere Benutzerfreundlichkeit, insbesondere dann, wenn die Empfehlungen die Sicherheit erhöhen oder wenn die bestehenden unfreundlichen Richtlinien diese nicht erhöhen. Untersuchungen haben gezeigt, dass die Wahrscheinlichkeit, dass Benutzer schummeln oder eine vorhersehbare Methode (1, 2 usw.) verwenden, die leicht zu knacken ist, umso größer ist, je strenger Sie die Passwortrichtlinien gestalten.
NIST empfiehlt, leicht zu merkende Passphrasen zu verwenden
NIST verlangt nun ein Minimum von 8 Zeichen, was nicht radikal ist, aber sie verlangen nun auch ein Maximum von mehr als 64 Zeichen, um Passphrasen zu fördern. Dies ist eines der Themen des Dokuments: Stärkung der Systeme, damit sie stärkere Passwörter auf eine Weise verarbeiten können, die für den Benutzer leichter zu merken ist. Mit anderen Worten: Belasten Sie die Systeme - nicht die Benutzer. Zusammen mit Microsoft empfehlen sie auch ein Wörterbuch mit gängigen Kennwörtern, das dazu verwendet werden kann, schwache Kennwörter (z.B. "passw0rd!") zu sperren, wenn der Benutzer versucht, sie festzulegen.
Eine weitere Anforderung, über die wir uns alle freuen werden, ist, dass Leerzeichen, alle ASCII-Zeichen und möglicherweise sogar Unicode-Zeichen (wie Emoji) in Kennwörtern erlaubt sind. Können Sie sich vorstellen, Emoji in Ihren Passwörtern zu verwenden? Jemand muss mir ein paar Tastaturkürzel zeigen, bevor ich das versuche! Leerzeichen können Probleme bereiten, da es schwierig ist, ein oder zwei Leerzeichen auseinanderzuhalten. Dies wird jedoch durch eine weitere neue Empfehlung erleichtert, die besagt, dass der Benutzer das eingegebene Kennwort anzeigen kann, solange es nach einer gewissen Zeit wieder verborgen wird. Wir haben gesehen, dass sich diese Möglichkeit immer mehr durchsetzt, und ich bin froh darüber.
Ablaufende Passwörter stoppen
Sowohl Microsoft als auch NIST befassen sich mit dem Ablauf von Kennwörtern und empfehlen, dass Kennwörter nicht willkürlich nach einer gewissen Zeitspanne ablaufen sollten, es sei denn, es gibt Hinweise auf eine Kompromittierung. Im Gegensatz zu lokalen Identitätssystemen wie Active Directory haben die meisten Websites diese Regel schon immer befolgt. Ich spreche ihnen jedoch nicht zu, dass sie bei ihren Passwortrichtlinien vorausschauend waren. Sie wollten einfach nicht den Ärger, den das Ablaufen von Passwörtern ihren Helpdesks und ihren Kunden bereiten würde.
Das NIST lehnt eine wissensbasierte Authentifizierung (Hints) ab, die von einem Angreifer entdeckt oder erzwungen werden kann. Seien wir mal ehrlich, die meisten Bösewichte kennen inzwischen den Mädchennamen Ihrer Mutter. Sie empfehlen auch, keine Kompositionsregeln zu verwenden, da dies für den Benutzer zu schwierig ist und sie nicht so viel Sicherheit bieten, wie ursprünglich angenommen.
Zeit, sich von SMS zu verabschieden
Eine große Änderung, die für viele Kommentare gesorgt hat, ist die Ablehnung ("wir lehnen sie noch nicht ab, aber wir werden sie nicht mehr verbessern") der Verwendung von SMS als zweiten Faktor für die Authentifizierung. Und die Verwendung einer VoIP-Nummer (z.B. Google Voice) für die SMS-Authentifizierung wird rundheraus abgelehnt, da es sich nicht um einen zweiten Faktor handelt: Sie haben ihn nicht. Ihre Sorge über SMS im Allgemeinen ist, dass der Dienst nicht so sicher ist, wie er sein sollte, weil er nicht für diese Art der Nutzung konzipiert wurde. Kriminelle haben Malware entwickelt, die SMS-Nachrichten umleiten kann, und durch SIM-Tausch kann ein Krimineller die Nachrichten eines Benutzers abfangen.
Wenn Sie in einer Branche tätig sind, die Richtlinien wie HIPAA befolgen muss, können Sie diese neuen Empfehlungen leider nicht einfach umsetzen, wenn sie nicht mit den Richtlinien übereinstimmen. Sie müssen warten, möglicherweise Jahre, bis die Richtlinien mit den Empfehlungen übereinstimmen.
Sind Sie mit einer dieser neuen Richtlinien nicht einverstanden? Es handelt sich um einen Entwurf einer Spezifikation, und das NIST bittet dringend um Beteiligung und Feedback auf Github.
