Aktuelles

Sichere Passwörter: Neue Passwort-Strategie des BSI

Das Bundesamt für Sicherheit in der Informationstechnik hat überraschend seine Handlungsempfehlungen für Passwörter geändert und vereinfacht.

Susanne Breuer, 18. August 2022

„Einfach“ war lange Zeit ein Unwort im Zusammenhang mit Passwörtern. Im Gegenteil sollten diese möglichst kompliziert, einzigartig für jeden Account und möglichst nirgends schriftlich niedergelegt sein. So sah die optimale Strategie für Passwörter aus, wie sie auch vom Bundesamt für Sicherheit in der Informationstechnik BSI propagiert wurde. Offenkundig hat diese Strategie die Nutzer von Online-Diensten massiv überfordert, was der Sicherheit durch ausweichendes Nutzerverhalten letztlich abträglich war. Nun folgt ein Paradigmenwechsel. Ein Passwort soll alltagstauglich sein. Außerdem spielt die 2-Faktor-Authentisierung eine wichtige Rolle.

Kein Leben ohne Passwort

Im modernen Alltag sind Passwörter nicht mehr wegzudenken. Für Verbraucher wurde es allerdings immer schwieriger zu erkennen, was ein Passwort wirklich sicher macht. Und hatte man ein sicheres Passwort, benötigte man für einen weiteren Account ein ebenfalls sicheres, aber anderes Passwort, um im Falle eines Falles nur einen Account zu verlieren und nicht gleich mehrere oder gar alle.

Die großen Anforderungen an ein Passwort waren bislang Komplexität und Länge. Beides macht es selbst für IT-gestützte Hacking-Versuche sehr schwierig, ein Passwort z.B. per Zufallsgenerator zu knacken. Für den Nutzer solcher komplexen Passwörter hingegen machte es ihre Sperrigkeit zu einer großen Herausforderung, sie verfügbar zu haben. Einfach merken lassen sich solch komplizierten Passwörter schließlich nicht ohne weiteres. Die Lösung lag für viele Nutzer darin, Passwörter irgendwo zu notieren, was wiederum einem Bruch der Handlungsempfehlungen gleich kam.

Neue Handlungsempfehlungen

Das BSI hat nun neue Handlungsempfehlungen herausgegeben, mit denen Nutzer einfacher sichere Passwörter auswählen können. Verantwortlich zeichnet der Beirat Digitaler Verbraucherschutz beim BSI, der sich intensiv mit der Thematik beschäftigt hat. (HIER)

Das Erste Gebot zur Sicherheit bei Passwörtern: Einzigartigkeit

Jedes Passwort sollte nur für einen einzigen Account verwendet werden. Sollte dieses beim Nutzer oder beim Anbieter ausgespäht und missbraucht werden, so ist der Schaden wenigstens nur auf dieses eine einzige Konto begrenzt. Hier werden sich viele Nutzer noch immer umstellen müssen, auch wenn diese Forderung nichts Neues ist.

Einfacher statt überkomplex

Dagegen sind die lange propagierten überkomplexen Passwörter wenig zielführend. Gemeint ist eine Folge von zufälligen Zeichen (Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern), deren Länge das derzeit nach den anerkannten Regeln notwendige Maß überschreitet. Ist ein Passwort zu kompliziert, wird es ein Verbraucher nicht dauerhaft nutzen. Er wird es sich schlicht nicht merken können, trotz aller Eselsbrücken und Merksätzen, und letztlich doch wieder lieber auf einfache, merkbare, aber gefährdete Passwörter umschwenken. Nein, 1234 ist kein gutes Passwort. Ebensowenig wie das Geburtsdatum oder der Name von Bello.

Lange Wortkombis statt Phantasiezeichenfolgen

Dagegen sei es besser, statt der Phantasiekombinationen von allen verfügbaren Zeichen längere Passwörter oder Passwörter bestehend aus mehreren exisstierenden Worten zu verwenden, die dafür weniger komplex und besser merkbar sind. Einen Begriff wie Gurken-Turbo#Klatsch kann man sich via Eselsbrücke gut merken, er bringt aber Passwortknacker-Software ordentlich in Schwierigkeiten.

Nicht ständig das Passwort erneuern

Genauso wenig hilfreich wird mittlerweile die regelmäßige Passworterneuerung angesehen. Ein einmal gewähltes Passwort soll länger verwendet werden. Diese Empfehlung ist allerdings nicht neu, sondern wurde bereits vor einigen Jahren ausgesprochen. Durch verschiedene Ratgeber etc. geistert sie aber immer noch durch die Online-Welt. Passwörter sollten spätestens dann erneuert werden, wenn sie unsicher sind (1234 o.ä.) oder der Verdacht besteht, dass sie kompromittiert wurden.

2-Faktor-Authentisierung

Wo immer möglich sollten Verbraucher auf die 2-Faktor-Authentisierung, auch 2-Faktor-Authentifizierung oder 2-FA genannt, zurückgreifen. Selbst wenn das Passwort auf Seiten der Nutzer oder der Diensteanbieter in falsche Hände gerät, bleibt immer noch die Hürde der zweiten Bestätigung möglichst auf einem anderen Endgerät.

Reaktion auf Problemanalyse

Mit diesen Empfehlungen reagiert das BSI auf eine gemeinsame Studie mit dem Bundeskanzleramt zum Accountschutz (HIER). Hier wurden vier Punkte herausgearbeitet, die die aktuellen Empfehlungen zur Sicherheit bei Passwörtern infrage stellten.

  • Grenzen der Merkfähigkeit verschiedener Passwörter,
  • Zweifel an Wirksamkeit eines sicheren Passwortes,
  • Unsicherheit, ab wann ein Passwort sicher genug ist,
  • Paradoxes Verhältnis zwischen Passwortanforderungen und Passwortverwendungspraxis.

Risiken auch bei den Diensteanbietern

Der Beirat Digitaler Verbraucherschutz beklagt auch, dass neben den selbstgewählten „schwachen“ Passwörtern oft auch leicht zu erratende Passwörter oder feste Login/Passwort Kombinationen direkt vom Hersteller in Verbraucher-IT hinterlegt werden (Standardpasswörter…). Trotzdem trügen Verbraucherinnen und Verbraucher das Risiko im Falle eines Angriffes alleine. Ein weiteres Risiko liegt auf Seite der Anbieter. Selbst die besten Passwörter nutzen nichts, wenn sie beim Anbieter geleakt werden. Wurden sie vom Verbraucher bei mehreren Diensten genutzt, weil er sich an strenge Passwortvorgaben gehalten hatte, liegt darin ein erhebliches Schadenspotential.

Passwortmanager für viele keine Alternative

Für viele Nutzer ist es auch keine Alternative, einen Passwortmanager zu nutzen, der selbstgewählte Passwörter sicher verwahrt bzw. einen komplexen Passwortgenerator oder ein Masterpasswort anbietet. Offenbar herrscht hier noch viel Unsicherheit und wenig Vertrauen in diese Technologie. Ist der Zugriff auf die eigenen Passwörter tatsächlich jederzeit möglich? Können eventuell doch auch nicht autorisierte Nutzer auf die hinterlegten Passwörter zugreifen? Haben die Nutzer wirklich alle Feature eines solchen Passwort-Managers verstanden? So können diese z.B. vor gefälschten Webseiten warnen.

Passwortmanager gelten für das BSI weiterhin als gute Lösung, um Passwörter aufzubewahren. Aber in den neuen Empfehlungen ist nun auch vorgesehen, in Organisationen Passwörter klassisch aufzuschreiben. Sofern sie dann sicher und nicht einfach zugänglich aufbewahrt werden. Also bitte nicht in der obersten Schreibtuschschublade, unter den Tisch geklebt oder per Post-It an den Bildschirm geheftet… 😉

Usability vor Sicherheit

Eine der wichtigsten Lehren aus der Studie zum Accountschutz ist die Erkenntnis, dass die Sicherheit eines Online-Kontos nichts nutzt, wenn der dafür erforderliche Aufwand zu groß ist. Haben Verbraucher das Gefühl, dass die Hürden für ein sicheres Passwort zu hoch sind, verunsichert sie dies nur noch mehr. Das führt dazu, dass alle Vorsicht fahren gelassen wird, Passwörter mehrfach genutzt, nach einem leicht zu erratenden Schema erstellt oder an unsicheren Orten aufgeschrieben und aufbewahrt würden (z.B. unter der Schreibtischauflage ;-)). Usability soll also in Zukunft vor Sicherheit bei den Empfehlungen stehen. Verbraucher sind grundsätzlich bereit, hohe Standards bei Passwörtern zu erfüllen, solange gleichzeitig eine einfache und sichere Möglichkeit zu deren Aufbewahrung angeboten wird.

Begriff 2-Faktor-Authentisierung noch sehr unbekannt

Der Begriff „Zwei-Faktor-Authentisierung“ (2FA) ist ohne weitere Erläuterung nur 43 Prozent aller Internetnutzerinnen und -nutzer ab 16 Jahren bekannt. Wird das Prinzip erläutert, kennen bereits drei Vierteln (75 Prozent) das Prinzip der zweistufigen Anmeldung. Die bekanntesten und auch die meistgenutzten Verfahren zur Zwei-Faktor-Authentisierung sind SMS-TAN (85 Prozent Bekanntheit unter den „2FA-Kennern“) und Code per E-Mail (76 Prozent). Weniger als die Hälfte der 2FA-Nutzerinnen und Nutzer wüsste, was im Falle eines Verlustes/Defekts des zweiten Faktors zu tun wäre.

Als besonders schützenswerte Dienste werden von den 2FA-Kennerinnen und Kennern am häufigsten Online-Banking (90 Prozent) und Bezahldienstleister wie PayPal (84 Prozent) genannt. Diese hohen Werte überraschen nicht, denn bei solchen Finanzdienstleistungen wurde die 2FA verpflichtend eingeführt. Das E-Mail-Postfach wird immerhin noch von 61 Prozent als besonders schützenswert angesehen – jedoch nutzen zum Zeitpunkt der Befragung nur 17 Prozent der Kennerinnen und Kenner ein 2FA-Verfahren für die Anmeldung bei ihrem E-Mail-Dienst. (HIER)

Warum nutzen Verbraucher oft noch keine sicheren Anmeldeverfahren wie 2-FA?

Der Beirat sieht einen wichtigen Grund darin, dass oft noch keine entsprechenden Angebote durch Onlinedienste gemacht werden. Ziel muss es also sein, seitens der Anbieter die Sicherheitsvorkehrungen auch durch 2-Faktor-Authentisierung hochzufahren, sodass Verbraucher ihre Konten auf einfache Weise schützen können.

Quelle: BSI

Schon gehört? Mimikama das Glauben? Der Faktencheck Podcast Teil 15: Hass im Netz!



Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama