icon
skip to content

NIST-Kennwortrichtlinien 2021 | Best Practices für Passwortrichtlinien

NIST Password Guidelines

 

Eine kürzlich durchgeführte Umfrage hat gezeigt, dass zwei Drittel der Unternehmen Passwörter nicht ändernDie Gründe für diese Statistik sind noch besorgniserregender, da mehr als die Hälfte der Mitarbeiter dies vermeiden, weil sie befürchten, ihre neuen Passwörter zu vergessen, diese Praxis als lästig empfinden oder einfach keinen Sinn darin sehen

Gesunde und robuste Passwortverwaltungsrichtlinien sind unerlässlichSowohl Unternehmen als auch Mitarbeiter müssen verstehen, wie wichtig die Implementierung angemessener Passwortpraktiken istDas National Institute of Standards and Technology (NIST) stellt Passwortrichtlinien bereit, die in den USA als Goldstandard für die allgemeine Einhaltung von Datenschutz und Datensicherheit gelten

Zu Beginn dieses Jahres neckten Beamte von NIST mögliche Änderungen ihrer SicherheitsempfehlungenVor diesem Hintergrund möchten wir einen Blick auf die aktuellen NIST-Passwortrichtlinien für 2021 werfen, um Ihnen dabei zu helfen, die besten Passwortpraktiken zum Schutz vor aktuellen Cybersicherheitsbedrohungen zu erkennen

NIST-Kennwortrichtlinien

Seit 2014 hat das National Institute of Standards and Technology Richtlinien, Empfehlungen und Kontrollen für die Identitätsauthentifizierung herausgegeben, einschließlich optimaler Passwortrichtlinien

NIST Password Guidelines

Diese Richtlinien haben sich im Laufe der Jahre weiterentwickelt, da es mehrere Überarbeitungen gab, insbesondere in den Jahren 2017 und 2019Die NIST-Passwortrichtlinien decken wichtige Praktiken zum Erstellen und Verwalten von Passwörtern und Anforderungen für die Validierung dieser Passwörter ab

Das Hauptziel der NIST-Kennwortrichtlinien besteht darin, eine starke Kennwortsicherheit für Benutzer und Unternehmen zu schaffen und den privilegierten Zugriff streng zu kontrollierenDiese Richtlinien ermöglichen es Organisationen und Unternehmen, sich besser vor Credential Stuffing, Brute-Force-Angriffen und anderen Einbruchsversuchen zu schützenLassen Sie uns vor diesem Hintergrund zunächst einen Blick auf die veralteten Passwortempfehlungen werfen und dann zu den neuesten NIST-Richtlinien für Passwörter für 2021 übergehen

Empfehlungen für veraltete Passwörter

Die meisten Unternehmen wenden veraltete Passwortpraktiken an, basierend auf einer Reihe grundlegender KriterienZu diesen Kriterien gehören im Allgemeinen drei Hauptrichtlinien zur Passwortsicherheit:

  • Regelmäßige Passwortänderungen erzwingen
  • Anforderung, dass jedes neue Passwort einzigartig ist und noch nie zuvor in irgendeiner Form verwendet wurde
  • Stellen Sie sicher, dass jedes Passwort komplex ist und aus alphabetischen (Klein- und Großbuchstaben) und numerischen Zeichen sowie anderen Sonderzeichen besteht

Diese Richtlinien werden von vielen Unternehmen weitgehend akzeptiert und seit Jahrzehnten verwendetObwohl an den oben aufgeführten Richtlinien grundsätzlich nichts auszusetzen ist, sind sie nicht ausgefeilt genug, um moderne Sicherheitsanforderungen zu unterstützen

Die Tatsache, dass rund 57 % der Menschen immer noch diese veralteten Praktiken anwenden, bedeutet, dass die Tür für Phishing und Malware-Angriffe für Angreifer immer noch sehr offen istWir haben uns an die veralteten Empfehlungen gewöhnt und müssen neue Methoden zur Passwortverwaltung anwenden, um maximale Sicherheit zu gewährleistenDas bringt uns zum nächsten entscheidenden Thema

Aktualisierte Passwortempfehlungen

NIST hat einen überarbeiteten Satz von Richtlinien veröffentlicht, die die empfohlenen Sicherheitspraktiken abdecken, die sich am besten für die heutige Umgebung eignenDieses Thema erfordert einen eigenen Artikel, daher gehen wir nicht auf alle winzigen Details einTrotzdem wollen wir uns die neuesten Passwortempfehlungen zu den bestehenden Sicherheitspraktiken genau ansehen:

Alphanumerische Zeichen

NIST Password Guidelines

Das alphanumerische Passwortsystem scheint es schon seit den Passwörtern selbst zu gebenDie Kombination von Klein- und Großbuchstaben mit Zahlen und Sonderzeichen, um ein Passwort „stärker“ zu machen, ist heutzutage eine Praxis, die fast jedes Sicherheitssystem anwendet

Die NIST-Passwortrichtlinien besagen jedoch, dass dieses System nicht unbedingt zu robusteren und sichereren Passwörtern führt

Die neuen NIST-Passwortrichtlinien betonen ein dynamischeres System, in dem die Benutzer ihre Passwörter erstellen, indem sie ihre neuen Passwörter mit schwachen Passwörtern und solchen vergleichen, die zu Leaks geführt haben

Passwortlänge

Die derzeitige Praxis ist, dass Passwörter etwa 8 bis 10 Zeichen lang sein solltenDies ist einer der wesentlichen Aspekte, die geändert werden müssen, da die NIST-Kennwortrichtlinien empfehlen, dass Kennwörter mit mindestens 64 Zeichen zulässig sein sollten

Ein so langes Passwort zu haben, mag unpraktisch erscheinenEs ist jedoch viel einfacher, sich einen eindeutigen Satz als Passwort zu merken, als einen Kauderwelsch zu verwenden, der aus zufälligen Zahlen und Zeichen besteht

Passworthinweise

"Wie war der Name Ihres Haustiers aus der Kindheit?" und „Der Name Ihres ersten Lehrers“ sind alltägliche Passworthinweise, die Benutzer verwenden, wenn sie ein vergessenes Passwort wiederherstellen müssenDie Qualität dieser Passworthinweise lässt jedoch oft zu wünschen übrig, insbesondere in der heutigen überexponierten Social-Media-Ära

Die neuen NIST-Kennwortrichtlinien raten Benutzern, sich von Kennworthinweisen fernzuhaltenStattdessen sollten sie die Multi-Faktor-Authentifizierung als fortschrittlichere und sicherere Methode zur Passwortsicherheit verwenden

Sie können den MFA so einstellen, dass er Sie basierend auf Ihrem Fingerabdruck, digitalen Zertifikat, Hardware-Token, Standort, Zeit und vielem mehr identifiziertDies ist ein Sicherheitsschritt, der viel schwieriger zu hacken ist und das Risiko eines Datenlecks erheblich verringert

Erzwungene Passwortänderungen

Die neuen NIST-Passwortrichtlinien mindern den Wert geplanter erzwungener PasswortänderungenSie unterstützen diese Haltung, indem sie argumentieren, dass die Schwäche des Benutzers, nach Passwortmustern zu suchen, wie z. B. das Ändern nur weniger Zahlen oder das Vertauschen von Zeichen, das Passwort schwächt und die Änderung nicht so bedeutsam macht, wie sie sein sollteWenn die Hacker bereits über die Informationen des Benutzers verfügen und der Benutzer nur geringfügige Änderungen am vorhandenen Passwort vornimmt, ist die erzwungene Passwortänderung sinnlos

Passwörter kopieren und einfügen

Überraschenderweise hat NIST seine Sichtweise seit der letzten Überarbeitung komplett geändertDas Institut war bisher strikt gegen das Aktivieren von Copy/Paste-Funktionen beim Eintippen von PasswörternDie neuen Leitlinien zielen jedoch darauf ab, diese Empfehlung umzukehren

Der Grund für diese Änderung der Empfehlung ist, dass das Kopieren und Einfügen komplexer Passwörter die Mitarbeiter nur ermutigen wird, keine einfacheren Passwörter zu verwenden, sondern auf Passwort-Manager umzusteigenDiese Passwort-Manager würden es ihnen dann ermöglichen, Passwörter für eine bequeme Verwendung nach dem Zufallsprinzip zu generieren und zu speichern, ohne ihre Sicherheit zu gefährden

Die Bedeutung von Passwort-Managern und 2FA

Der beste Weg, um maximale Privatsphäre und Sicherheit Ihrer Passwörter zu gewährleisten, besteht darin, zwei Vorgehensweisen zu implementieren: die Verwendung eines Passwort-Managers und die Verwendung der 2-Faktor-AuthentifizierungWenn es um letzteres geht, sind sich alle einig, dass die Verwendung der 2-Faktor-Authentifizierung Ihren Informationen eine sehr starke Sicherheitsebene hinzufügtAlle Experten sind sich einig, dass passwortlosen Anmeldungen die Zukunft gehörtEs ist nur eine Frage der Zeit, wann Unternehmen diese Authentifizierungsmethode übernehmen werden

Wenn es jedoch um Passwort-Manager geht, kommen Experten hier an einen ScheidewegFür einige sind Passwort-Manager ein notwendiges und sehr praktisches Werkzeug, um Privatsphäre und Sicherheit zu gewährleistenFür andere sind sie nur ein Werkzeug, um das allgemeine Problem zu verschleiern, indem sie die Passwörter hinter einem anderen Passwort speichern

Das liegt daran, dass es schwierig ist, NIST-Passwortgeneratoren zu finden, die alle Standards und Anforderungen erfüllenDas Beste, was Sie tun können, ist, einen zuverlässigen und sicheren Passwortgenerator und -manager zu finden, um Ihre wertvollen Daten davor zu schützen, in die falschen Hände zu geraten

Aus diesem Grund ist die Verwendung eines kompakten All-in-One Bluetooth-fähigen Schlüssels wie dem Hideez Key 3 oder Hideez Key 4 eine einfache und elegante Lösung für Ihr Passwort VerwaltungsbedarfEs ermöglicht Ihnen, bis zu 2.000 Anmeldeinformationen und Passwörter in einem Hardware-Tresor zu speichernDarüber hinaus dient es als multifunktionaler Sicherheitsschlüssel, der Ihnen hilft, eindeutige und robuste Passwörter und Einmalpasswörter für die Multi-Faktor-Authentifizierung zu generieren

Das Beste daran ist, dass eine solche Passwortverwaltungslösung nicht nur für den persönlichen Bedarf, sondern auch für Unternehmenszwecke implementiert werden kann und viele weitere wertvolle Funktionen bietet, die perfekt für Umgebungen mit mehreren Benutzern geeignet wärenUm mehr zu erfahren, kontaktieren Sie uns bitte  oder fordern Sie ein kostenloses personalisiertes Pilotprojekt an:

Related Posts