Es ist seit Jahrzehnten ein Mythos, dass Passwortpermutation (oder Passwortrotation) sicherer ist, als ein nach objektiven Maßstäben sicheres Passwort nicht/nur selten zu ändern. Ein weiterer Mythos ist, dass Passwörter unbedingt Sonderzeichen, Groß- und Kleinschreibung und Zahlen enthalten müssen, um sicher zu sein.

Seit fast genausovielen Jahren ist sich die Mehrheit der IT-Sicherheitsexperten einig, dass solche Regeln mehr schaden als nützen und Passwortrotation sogar kontraproduktiv ist. Ein geeignetes Passwort kann bedenkenlos über Jahre hinweg verwendet werden.

Regelmäßiges Ändern führt eher dazu, dass schwache Passwörter verwendet werden, oder Passwörter nach einem Schema generiert werden. Nach Schemata generierte Passwörter erleichtern es Unbefugten unter Umständen, mehr als nur ein auf diese Weise erzeugtes Passwort zu erraten. Die Verwendung von Sonderzeichen (evtl. sogar aus dem erweiterten ASCII-Raum) macht dann Sinn, wenn man sich das Passwort trotzdem gut merken kann (weitere Empfehlungen unten).

Empfehlung in Sachen Passwortrotation US-Amerikanischer Behörden

That’s some text with a footnote.¹

Jenseits von Sysadmins und Sicherheitsberatern die wir bei # vikings kennen, sind diese Erkenntnisse primär auf das NIST (US-amerikanische IT-Sicherheitsbehörde) zurückzuführen. Die haben //SCHON IN?// die ursprüngliche Empfehlung zurückgezogen, als diese Fakten auf dem Tisch lagen. Aber wenn so eine Empfehlung einmal in alle möglichen Prozesse in Unternehmen und zuhause gewandert ist, ist es oft schwer, es wieder herauszubekommen.

Daher hat das NIST die Brechstange rausgeholt und periodische Passwortrotation zu einem SHALL NOT gemacht (3.1.1.2 Punkt 6).[^2] [^2]: URL https://pages.nist.gov/800-63-4/sp800-63b/authenticators/#password

— bis hierhin text bearbeitet —

Man könnte nun auch sagen: Das ist jetzt ein gültiger Sicherheitsbefund in Audits. Das zu tun, was das NIST vor ein paar Jahren vorgeschrieben hat. Das das NIST (eine Behörde!) in der Lage ist, Fehler nicht nur anzuerkennen, sondern auch Konsequenzen daraus zu ziehen gebührt des Lobes!

Oh und wenn ihr in einem Laden arbeitet, der Passwörter rotiert, dann holt euch mal gleich die Bug Bounty ab und meldet das als Sicherheitslücke.

Empfehlung in Sachen Passwortroation deutscher Behörden (“deutsche Gründlichkeit” hat das wohl verzörgert…)

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) klassifiziert Passwortrotatio seit der 2023-er Ausgabe des BSI-Grundschutz-Kompendiums schon als Sicherheitslücke (unter ORP.4.A23) [2].
Bereits seit der 2020er-Ausgabe des BSI-Grundschutz-Kompendiums enthält das Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) [3] keine Empfehlung mehr, Passwörter zu rotieren, wohingehen es bis zum 2019-er BSI-Grundschutz-Kompendium (ORP.4.A8) [4] noch empfohlen war.

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern.

Gelerne Lektionen

Vorsicht ist besser als Nachsicht. Zugänge mit hohen Privilegien sollten selbstverständlich erstklassig abgesichert sein. Bei der Vermutung einer Kompromittierung ist es unabdingbar, betroffene Passwörter gegen neue auszutauschen - dies sollte für alle Accounts jedweder Privilegierung gelten. Für Admins in Organisationen gilt: Kommunikation auf Augenhöhe mit den Benutzern ist eines der besten Schutzschilde für die “Schwachstelle Mensch”. Bewusstsein für Sicherheit zu wecken ist der erste Schritt zum Erfolg. Verständnisvolle Benutzer ausgerüstet mit den richtigen Werkzeugen sind ein starkes Fundament für die IT-Sicherheit der Organisation.

Leider hält sich die Binsenweisheit von “Passwortrotation ist gut” weiterhin hartnäckig. # vikings empfiehlt diese Praxis zu ändern, sofern sie bei Ihnen noch praktiziert wird.

Wir empfehlen weiter einen Passwortmanager zu nutzen für den Fall das Sie sich mehr als eine handvoll Passwörter merken müssen. Man muss sich nur noch ein Passwort merken mit dem die Datenbank des Passwortmanagers entschlüsselt und geöffnet wird. Hierbei ist es dann oft lediglich wichtig, ein sehr gutes Verschlüsselungspasswort für die Passwortdatenbank selbst auszusuchen. Ein geeignetes Passwort im Gedächtnis zu behalten ist einfacher, als ≥ zwei geeignete Passwörter. Gute Passwortmanager sind oft auch behilflich, sehr schwer erratbare Kennwörter zu erstellen.
An dieser Stelle eine Empfehlung für den quelloffenen und freien KeepassXC Passwortmanager, dieser wurde in 2023 auch schon einem Sicherheitsaudit unterzogen. KeepassXC kommt mit sinnvollen Voreinstellungen, Passwort Schwarzlisten und anderen nützlichen Einstellungen als Standard. Es gibt auch noch andere Passwortmanager die empfehlenswert sind, wir raten vorsichtshalber von kommerziellen Angeboten für die Cloud ab.

Das Speichern von Passwörtern im Webbrowser kann eine Option sein, hängt aber auch von der Implementierung ab (bestehen Sie auf lokale Verschlüsselung wenn Ihre Passwörter im Browser für die Synchronisierung im Internet gespeichert werden, wie es z.B. beim Mozilla Firefox praktiziert wird). Zusätzlich kann man diese im Browserprofil gespeicherten Passwörter je nach Browser noch mit einem zusätzlichen Masterpasswort absichern. Zu beachten ist, das solche Lösungen lokal betriebene Lösungen wie KeepassXC eher unterlegen sind, da solche komplexen Softwarepakete wie Webbrowser häufiger Sicherheitslücken und auch weniger spezialisierten Funktionsumfang aufweisen. Die eierlegende Wollmilchsau ist häufig die schlechtere Wahl als ein spezialisiertes Werkzeug.

Für sehr stark erhöhte Sicherheitsanforderungen kann optional ein physikalischer Zufallszahlengenerator die Entropie erhöhen.

Für Unterstützung zu diesem Thema und darüber hinaus stehen wir gern zur Verfügung.

https://xkcd.com/936/

Update: Ein Kollege hat das mal recherchiert und sagt, das geht nicht auf NIST sondern die Rainbow Books vom Pentagon zurück.

Update: Ein anderer Kollege meint gerade, dass das schon länger beim NIST so steht, mindestens seit April. Wenn das so ist, hab ich da von nichts mitgekriegt und freu mich dann halt jetzt mit Verspätung :-)

[2] 20240316, https://web.archive.org/web/20240316155818/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/02_ORP_Organisation_und_Personal/ORP_4_Identitaets_und_Berechtigungsmanagement_Editon_2023.pdf?__blob=publicationFile&v=3 20240925, http://archive.today/2024.09.25-172840/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/02_ORP_Organisation_und_Personal/ORP_4_Identitaets_und_Berechtigungsmanagement_Editon_2023.pdf?__blob=publicationFile&v=3 [3] 20200211, https://web.archive.org/web/20200211231729/https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ORP/ORP_4_Identit%C3%A4ts-_und_Berechtigungsmanagement.html [4] 20240925, http://archive.today/2024.09.25-174451/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium/IT_Grundschutz_Kompendium_Edition2019.pdf?__blob=publicationFile&v=1 20240925, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium/IT_Grundschutz_Kompendium_Edition2019.pdf?__blob=publicationFile&v=1

https://blog.fefe.de/?ts=980d0280 https://www.heise.de/news/Sichere-Passwoerter-Viele-der-herkoemmlichen-Sicherheitsregeln-bringen-nichts-3797935.html https://www.heise.de/news/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html