Mal eine Frage hier in den Raum, vor allem an die haupt- und nebeberuflichen Admins: Was setzt ihr als Mindeststandard für Admin- und Userpassworte an? Welche externen Richtlinien oder Vorgaben legt ihr dabei zugrunde?
User IT-Dienstleister vertritt pauschal die Auffassung, 10 Zeichen bei vier Zeichenarten würden genügen und beruft sich dabei auf das BSI. Das kann man diesem Artikel auch so entnehmen. Allerdings hat das BIS diese Richtlinie IIRC schon vor ca. 10 Jahren proklamiert.
Mal komplett abgesehen davon, ob es sinnvoll ist, am untersten Limit zu kleben: Kennt jemand Empfehlungen von Regierungs- oder halbwegs anerkannten Nicht-Regierungsorganisationen, Versicherungen, o.ä., die fachlich fundiert längere Passwörter empfehlen oder vorgeben?
100 Milliarden Passwörter generieren ist nur dann ein sinnvoller Massstab, wenn ich offline prüfen kann. So schnell kann ich in einem verteilten System selten Passwörter durchprobieren - selbst im lokalen Netz habe ich oft Roundtrips von >1ms, prüfe ich stark parallel, gehen mir die Sockets oder andere Ressourcen aus, und viele Userstores bremsen und bannen Dich nach ein paar Fehlversuchen (was Angreifer für Denial-Of-Service nutzen können, aber das kann man wenigstens erkennen). Alles zusammen limitiert das Durchprobieren typischerweise signifikant, aber wie sehr ist oft nicht von außen erkennbar.
Skript-Kiddies wie ich sie auf meinem Mailserver beobachte probieren typisch alle 2 Minuten eine Kombination von Standard-User mit Standard-Passwort und werden bei mir nach drei Fehlversuchen für eine Stunde geblockt - und das v.a. damit die Logs lesbar bleiben, nicht weil das Risiko groß ist. Analog auf meinem Testservice, nur block ich da gleich vier Stunden. Wenn Du ein speziell interessantes Angriffsziel bist kann das anders aussehen.
Der Gau ist in jedem Fall, wenn ein offline-Angriff möglich wird, weil z.B schlecht oder gar nicht gesalzene Passwörter geleakt wurden.
Reflexhaft habe ich gerade gedacht, das kann nicht sein und sofort im BSI Grundschutz und den Umsetzungshinweisen gesucht aber nichts gefunden.
Wenn ich ein Informationssicherheits-Management implementiere müsste mir der Kunde schon erklären, warum er nur 8 Zeichen möchte. Wenn er das für eine gute Idee hält, schließe ich i.d.R. mit dem Kunden eine Wette ab wie viele Admin-Accounts wir in der ersten Stunde geknackt haben, wenn er mir seine Hashtabelle gibt. Noch nie verloren ^^
Darüber hinaus fordert eigentlich jeder Standard das administrative Accounts besser geschützt werden und dass die Passwort-Policy auch technisch erzwungen wird.
Wenn man will findet man aber auch relativ schnell glaubwürdige Empfehlungen für längere Passwörter. Das BSI ist bei sowas einfach ein bisschen langsam.
Hier ein paar Links (Achtung führen alle in die USA)
Die neuste Ausgabe der NIST Password Guidelines schreibt immer noch von mindestens 8 Zeichen, besser mehr. 8 Zeichen sind definitiv zu wenig. Die von @Crashandy gepostete Tabelle ist eine sehr gute Orientierung und zeigt gut auf, dass es eben nicht nur auf die Anzahl der Zeichen ankommt, sondern auch, welche man verwendet.
Im Kommentar zur neuesten Ausgabe der NIST Password Guidelines (Link) werden noch weitere Aspekte angesprochen, die man auch berücksichtigen sollte.
Ich glaub, das schlimmste ist, wenn 'ne Passwortdatenbank in fremde Hände gerät, die nur mit einem Passwort gesichert ist, die Länge dessen ist dann fast egal.
Das ist aus meiner Sicht schon ein Manko z.B. bei KeePassDX unter Android. Die Datenbank liegt im „normalen“ Speicher. Jede App mit Zugriff auf den und Internetverbindung könnte einfach mal so die Datenbank „exportieren“ und der Angreifer sie offline knacken.
Aber ähnliche Probleme gibts beim Ex- und Import von z.B. Wireguard-Konfigurationen, nur daß die in allen beobachteten Fällen gar im Klartext vorliegen …
… ansich ein Unding.
Weiß nicht wie der Stand bei AVM inzwischen ist, früher haben die auch mal die Zugangsdaten im Klartext in den Konfigfiles mancher Apps gehabt, aber die lagen wenigstens vor Nicht-root-Apps sicher.
Android bräuchte eine wirksame Nutzer-bestimmte Zugriffsverwaltung mit Zugriffsaufzeichnung.
Der Link im Eingangspost ist nicht nur alt - er bezieht sich auf Verbraucher (sieht man in der URL). Wer das mit Anforderungen an kommerzielle Systeme oder gar Admins in einen Topf wirft, ist wohl nicht hinreichend qualifiziert.
Deine Rolle in der Frage ist unklar - aber die Unternehmensanforderungen definiert sicherlich nicht der Dienstleister.
Vielen Dank an alle, das hat mir schon mal sehr geholfen.
„Junior Admin“ - ohne irgendwas im Bereich IT gelernt zu haben und neben diversen anderen Jobs - wie das in KMU ja oft so ist.
Nein, aber der ist als „Berater mit Fachexpertise“ nun mal die überwiegende Richtschnur. Weder ich, noch der 2. Admin (zugleich GF) kommen aus dem IT-Bereich. Auch Admins sind faul und scheuen lange und komplizierte Zugangssicherungen, wenn diese nicht eindeutig nötig sind. Insofern brauche ich gute Argumente, mit denen ich meinem Chef plausibel darlegen kann, dass wir hier von der Empfehlung des IT-Dienstleisters (nach oben) abweichen sollten.
Wobei die der oben verlinkten Empfehlung des BSI an sich nicht widerspricht, da hier eine Verwendung von „mehr Zeichenarten“ zwar pauschal empfohlen wird, diese aber nicht in Relation zur Passwortlänge gesetzt wird. Das BSI setzt ja auch 20 bis 25 Zeichen an - wenn nur zwei Zeichenarten verwendet werden.
Nur um Missverständnisse zu vermeiden: Ich gehe grundsätzlich von vier Zeichenarten aus (ABab12!!).
Nachtrag 29.02.2024:
Genau dieses Argument ist in der Diskussion auch gefallen - und da ist was dran. 100 Milliarden Loginversuche pro Sekunde über ein Netzwerk zu schieben - das ist dann schon eher ein DDOS-Angriff Bei Offlineangriffen auf verschlüsselte Daten oder entwendete gehashte Passwörter ist das realistisch, aber selbst ein Angriff mit dem Ziel der Rechteeskalation (sprich: innerhalb des internen Netzes gegen einen Admin-Account) dürfte schon aufgrund der bewegten Datenmengen innerhalb kürzester Zeit auffallen.
Nichtsdestotrotz konnte ich durchsetzen, dass die Admin-PW jetzt bei mindestens 16 Zeichen (aus vier Zeichenarten) liegen. Vielen Dank an alle für die Mithilfe!
Bei Offlineangriffen auf verschlüsselte Daten oder entwendete gehashte Passwörter ist das realistisch, aber selbst ein Angriff mit dem Ziel der Rechteeskalation (sprich: innerhalb des internen Netzes gegen einen Admin-Account) dürfte schon aufgrund der bewegten Datenmengen innerhalb kürzester Zeit auffallen.