Länge von Passwörtern (im Business-Kontext)

Mal eine Frage hier in den Raum, vor allem an die haupt- und nebeberuflichen Admins: Was setzt ihr als Mindeststandard für Admin- und Userpassworte an? Welche externen Richtlinien oder Vorgaben legt ihr dabei zugrunde?

User IT-Dienstleister vertritt pauschal die Auffassung, 10 Zeichen bei vier Zeichenarten würden genügen und beruft sich dabei auf das BSI. Das kann man diesem Artikel auch so entnehmen. Allerdings hat das BIS diese Richtlinie IIRC schon vor ca. 10 Jahren proklamiert.

Mal komplett abgesehen davon, ob es sinnvoll ist, am untersten Limit zu kleben: Kennt jemand Empfehlungen von Regierungs- oder halbwegs anerkannten Nicht-Regierungsorganisationen, Versicherungen, o.ä., die fachlich fundiert längere Passwörter empfehlen oder vorgeben?

Ich brauche ein paar Argumente.

Hallo @NordWest,

ich könnte Dir hier ein paar Argumente liefern.

Im Februar 2019 habe ich beim HPI einen Kurs belegt, in welchem u. a. auch Passwortlängen behandelt wurden. Daraus einmal zwei Screenshots.

Quelle: https://open.hpi.de/courses/identities2019/items/5A1bHeDizGMJr5IOMTARoo
Ist übrigens sehr sehenswert. :wink:

Dazu noch eine etwas aktuellere Betrachtung von der List + Lohr GmbH aus dem Februar 2023.

Ändere-dein-Passwort-Tag 2023

Da wir jetzt schon den Februar 2024 schreiben, wird es mit zunehmender Rechenleistung von Quantencomputern nicht besser aussehen.

Gruß
Crashandy

2 „Gefällt mir“

100 Milliarden Passwörter generieren ist nur dann ein sinnvoller Massstab, wenn ich offline prüfen kann. So schnell kann ich in einem verteilten System selten Passwörter durchprobieren - selbst im lokalen Netz habe ich oft Roundtrips von >1ms, prüfe ich stark parallel, gehen mir die Sockets oder andere Ressourcen aus, und viele Userstores bremsen und bannen Dich nach ein paar Fehlversuchen (was Angreifer für Denial-Of-Service nutzen können, aber das kann man wenigstens erkennen). Alles zusammen limitiert das Durchprobieren typischerweise signifikant, aber wie sehr ist oft nicht von außen erkennbar.

Skript-Kiddies wie ich sie auf meinem Mailserver beobachte probieren typisch alle 2 Minuten eine Kombination von Standard-User mit Standard-Passwort und werden bei mir nach drei Fehlversuchen für eine Stunde geblockt - und das v.a. damit die Logs lesbar bleiben, nicht weil das Risiko groß ist. Analog auf meinem Testservice, nur block ich da gleich vier Stunden. Wenn Du ein speziell interessantes Angriffsziel bist kann das anders aussehen.

Der Gau ist in jedem Fall, wenn ein offline-Angriff möglich wird, weil z.B schlecht oder gar nicht gesalzene Passwörter geleakt wurden.

Reflexhaft habe ich gerade gedacht, das kann nicht sein und sofort im BSI Grundschutz und den Umsetzungshinweisen gesucht aber nichts gefunden.

Wenn ich ein Informationssicherheits-Management implementiere müsste mir der Kunde schon erklären, warum er nur 8 Zeichen möchte. Wenn er das für eine gute Idee hält, schließe ich i.d.R. mit dem Kunden eine Wette ab wie viele Admin-Accounts wir in der ersten Stunde geknackt haben, wenn er mir seine Hashtabelle gibt. Noch nie verloren ^^

Darüber hinaus fordert eigentlich jeder Standard das administrative Accounts besser geschützt werden und dass die Passwort-Policy auch technisch erzwungen wird.

Wenn man will findet man aber auch relativ schnell glaubwürdige Empfehlungen für längere Passwörter. Das BSI ist bei sowas einfach ein bisschen langsam.

Hier ein paar Links (Achtung führen alle in die USA)

Das BSI hat doch eine „Technische Richtlinie“ mit Empfehlungen dazu?

Also ich habe wie gesagt nichts gefunden und sogar die Umsetzungshinweise für den BSI Grundschutz gerade nochmal durchforstet.

Bin dabei über die Empfehlung der verlängerten Werkbank des BSI gestoßen:
https://www.hisolutions.com/security-consulting/cybersecurity/passwortsicherheit-1#c8912

Diese Abstufung finde ich so auch meistens bei Kunden an.

Die neuste Ausgabe der NIST Password Guidelines schreibt immer noch von mindestens 8 Zeichen, besser mehr. 8 Zeichen sind definitiv zu wenig. Die von @Crashandy gepostete Tabelle ist eine sehr gute Orientierung und zeigt gut auf, dass es eben nicht nur auf die Anzahl der Zeichen ankommt, sondern auch, welche man verwendet.

Im Kommentar zur neuesten Ausgabe der NIST Password Guidelines (Link) werden noch weitere Aspekte angesprochen, die man auch berücksichtigen sollte.

Ich glaub, das schlimmste ist, wenn 'ne Passwortdatenbank in fremde Hände gerät, die nur mit einem Passwort gesichert ist, die Länge dessen ist dann fast egal.

Das ist aus meiner Sicht schon ein Manko z.B. bei KeePassDX unter Android. Die Datenbank liegt im „normalen“ Speicher. Jede App mit Zugriff auf den und Internetverbindung könnte einfach mal so die Datenbank „exportieren“ und der Angreifer sie offline knacken.

Aber ähnliche Probleme gibts beim Ex- und Import von z.B. Wireguard-Konfigurationen, nur daß die in allen beobachteten Fällen gar im Klartext vorliegen …

… ansich ein Unding.

Weiß nicht wie der Stand bei AVM inzwischen ist, früher haben die auch mal die Zugangsdaten im Klartext in den Konfigfiles mancher Apps gehabt, aber die lagen wenigstens vor Nicht-root-Apps sicher.

Android bräuchte eine wirksame Nutzer-bestimmte Zugriffsverwaltung mit Zugriffsaufzeichnung.

Neben der von nr845h = Beitrag 5 genannten Quelle mit üblichen Anforderungen gibt es z.B. noch Good Practice bei technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO (PDF) der bayer. DS-Aufsicht (für Behörden, aber das ist egal, sie lehnt sich an die ISO 2700x an).

Der Link im Eingangspost ist nicht nur alt - er bezieht sich auf Verbraucher (sieht man in der URL). Wer das mit Anforderungen an kommerzielle Systeme oder gar Admins in einen Topf wirft, ist wohl nicht hinreichend qualifiziert.

Deine Rolle in der Frage ist unklar - aber die Unternehmensanforderungen definiert sicherlich nicht der Dienstleister.

Vielen Dank an alle, das hat mir schon mal sehr geholfen.

„Junior Admin“ - ohne irgendwas im Bereich IT gelernt zu haben und neben diversen anderen Jobs - wie das in KMU ja oft so ist.

Nein, aber der ist als „Berater mit Fachexpertise“ nun mal die überwiegende Richtschnur. Weder ich, noch der 2. Admin (zugleich GF) kommen aus dem IT-Bereich. Auch Admins sind faul und scheuen lange und komplizierte Zugangssicherungen, wenn diese nicht eindeutig nötig sind. Insofern brauche ich gute Argumente, mit denen ich meinem Chef plausibel darlegen kann, dass wir hier von der Empfehlung des IT-Dienstleisters (nach oben) abweichen sollten.

Wobei die der oben verlinkten Empfehlung des BSI an sich nicht widerspricht, da hier eine Verwendung von „mehr Zeichenarten“ zwar pauschal empfohlen wird, diese aber nicht in Relation zur Passwortlänge gesetzt wird. Das BSI setzt ja auch 20 bis 25 Zeichen an - wenn nur zwei Zeichenarten verwendet werden.

Nur um Missverständnisse zu vermeiden: Ich gehe grundsätzlich von vier Zeichenarten aus (ABab12!!).