Sie kennen es vielleicht - Alle 30, 60, 90 oder 120 Tage startet eine lästige Prozedur für Nutzer in Organisationen:
Der regelmäßige Passwort-Wechsel steht an.
In den vergangenen Jahren wurde diese Vorgehensweise als "Stand der Technik" angesehen. Es sollte damit vermieden werden, dass Accounts über das Erraten von immer gleichbleibenden Passworten auf Dauer kompromittiert werden könnten.
Bereits der Teletrust (Bundesverband IT Sicherheit e.V.) hat in seiner "Handreichung zum Stand der Technik technischer und organisatorischer Maßnahmen" 2020 festgestellt, dass die Implementierung starker/sicherer Passworte und die Überprüfung dieser die geeignetere Maßnahme zum Schutz von Benutzer-Zugängen ist.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat nun in seinem aktualisierten IT Grundschutz Kompendium vom Februar 2020 nachgelegt.
Statt festgelegter Intervalle zum erzwungenen Passwort-Wechsel sollen sichere (aber für die Nutzer noch praktikable) Passworte genutzt werden. Regelmäßige Prüfungen ob Passworte kompromittiert wurden gehören zukünftig zu den Sicherheits-Maßnahmen der Wahl. Regelmäßige Passwort-Wechsel werden sogar als "nachteilig" gesehen.
Wo steht das denn?
Im Baustein ORP 4 (Organisation und Personal) wird unter anderem auf Regelungen zu Passworten eingegangen. Die Kernaussagen zu Nutzung und Wechsel dieser sind in ORP.4.A22 und ORP.4.A23 zu finden:
"ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)
In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.
ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden. [...]"
Die Quadratur des Kreises
Was ist nun ein "sicheres" Passwort? Das BSI gab bereits (für Bürger) 2011 folgende Tipps (Auszug) heraus: "[...]
- "Ein komplexes Passwort wählen: Ein gutes Passwort (zum Beispiel für ein Benutzerkonto im Internet) sollte mindestens acht Zeichen lang sein und nicht im Wörterbuch stehen. Neben Buchstaben sollte es auch Ziffern und Sonderzeichen enthalten.
- Keine Namen verwenden: Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes oder des Lieblingsstars.
- Kreativ werden: Um ein komplexes und dennoch leicht zu merkendes Passwort zu konstruieren, empfiehlt sich ein Merksatz als Eselsbrücke. Dabei denkt sich der Nutzer einen Satz aus und benutzt von jedem Wort beispielsweise nur den ersten Buchstaben. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. So wird zum Beispiel aus dem Merksatz "Morgens stehe ich auf und putze meine Zähne." das Passwort "Ms1a&pmZ".[...]"
Kennt ja jeder... wird in Unternehmen nicht wesentlich anders gehandhabt und in Richtlinien festgelegt: 8 Zeichen, Sonderzeichen, Zahlen, Groß-/Klein-Buchstaben... keine Namen... passt!
Ich gehe nun einfach mal davon aus, dass ich kein "normaler" User mit meinen rund 50 Anwendungen bin, für die Passworte notwendig sind. Deshalb mache ich einfach mal die grobe Schätzung, dass eben dieser "normale" User im beruflichen Umfeld immer noch 15 - 20 passwortgeschützte Anwendungen hat.
Und das Management der (unterschiedlichen und komplexen) Passworte dafür übernehmen soll.
Das führt mich zu folgenden Überlegungen:
- der "normale" Anwender dürfte ebenso wie in der Vergangenheit mit dem Management seiner Passworte (verständlicherweise) überfordert sein und "Umwege" suchen.
- Unternehmen müssen zwar nicht mehr sicherstellen, dass Passworte gewechselt werden aber durchaus, dass sichere und unterschiedliche Passworte für alle Anwendungen genutzt werden.
- Zusätzlich müssen Unternehmen auch aktiv überprüfen, ob Passworte kompromittiert wurden.
Fazit:
Ohne Maßnahmen wie Passwort-Manager für die Nutzer und Implementierung von Prozessen zur Überprüfung von Passworten dürfte ein "dem Stand der Technik" angemessener Gebrauch von sicheren Passworten nicht wesentlich einfacher sein als in der Vergangenheit.
Oder man denkt als Organisation über 2-Faktor-Authentisierungs- und Single Sign On-Lösungen nach.