Auf den Punkt: Passwörter bleiben trotz Alternativen wie Passkeys zentral für IT-Sicherheit. NIST empfiehlt: keine erzwungenen regelmäßigen Passwortänderungen, sondern sofortige Wechsel bei Kompromiss. Sichere Implementierung erfordert TLS-Verschlüsselung, gehashte Speicherung, Komplexitätsprüfungen und Brute-Force-Schutz.
Passwörter sind seit Jahrzehnten ein Grundpfeiler der IT-Sicherheit, doch trotz wiederholter Rufe nach ihrer Abschaffung sind sie weiterhin unverzichtbar. Mit der ständig wachsenden Flut von Passwort-Dumps und Datenlecks wird ein ganzheitlicher Blick auf sichere Authentifizierung unvermeidlich.
Die Verwendung von Passwörtern hat eine lange Tradition in der Informationstechnologie. Regelmäßig besteht Einigkeit darüber, dass wir uns von ihnen befreien sollten – doch dies ist bislang nicht gelungen, obwohl Passkeys einen vielversprechenden Ansatz darstellen. Daher verwalten wir alle umfangreiche Sammlungen von Passwörtern. Im Internet tauchen in regelmäßigen Abständen immer größere Passwort-Dumps auf, und es häufen sich Meldungen zu Datenlecks, bei denen unklar ist, wie die Daten abgeflossen sind. Solche Vorfälle können jede Organisation treffen, daher ist es sinnvoll, sich das Thema Passwörter gründlich anzusehen.
Die NIST-Richtlinie SP800-63B befasst sich detailliert mit Passwörtern und enthält dabei bemerkenswert progressive Vorgaben: Verifizierer und Credential Service Provider dürfen Benutzer nicht zwingen, Passwörter regelmäßig zu ändern. Sie müssen jedoch einen Wechsel erzwingen, wenn es Hinweise auf einen Kompromiss des Authentifizierungsmittels gibt.
Zugangskontrollen lassen sich in drei Kategorien einteilen: das, was man ist (Biometrie, Stimme, Aussehen), das, was man hat (Schlüssel, Token, Handy) und das, was man weiß (Benutzername und Passwort, PIN).
Eine Passwortabfrage ist einfach zu implementieren – das Eingabepasswort wird mit dem gespeicherten Wert verglichen. Allerdings sollten mehrere Sicherheitsaspekte beachtet werden: Die Übertragung von Passwörtern im Klartext ist gefährlich und erfordert Transport Layer Security (TLS). Serverseitig sollten Passwörter nicht im Klartext, sondern nur als gesalzener Hash gespeichert werden. Einfache Passwörter lassen sich durch Durchprobieren knacken – daher sind Mindestlängen-Vorgaben und ein Check gegen Datenbanken bekannter Passwörter sinnvoll. Serverseitig sollte Passwort-Raterei erkannt und unterbunden werden, ohne dabei legitime Benutzer zu blockieren. Ideal wären zufällige Benutzernamen; in der Praxis werden aber meist E-Mail-Adressen verwendet, was die Sicherheit reduziert.
Quelle: www.cert.at