Eine kürzlich durchgeführte Umfrage hat gezeigt, dass zwei Drittel der Unternehmen keine Passwörter ändern. Der Grund hinter dieser Statistik ist noch besorgniserregender, da über die Hälfte der Mitarbeiter dies vermeidet, weil sie befürchten, ihre neuen Passwörter zu vergessen, diese Praxis als lästig empfinden oder einfach keinen Sinn darin sehen.
Gesunde und robuste Passwortmanagement-Richtlinien sind unerlässlich. Sowohl Unternehmen als auch Mitarbeiter müssen die Bedeutung der Implementierung angemessener Passwortpraktiken verstehen. Das National Institute of Standards and Technology (NIST) bietet Passwort-Richtlinien, die als Goldstandard für allgemeine Datenschutz- und Datensicherheitskonformität in den USA gelten.
Zu Beginn dieses Jahres deuteten Beamte des NIST potenzielle Änderungen ihrer Sicherheitsanforderungen an. In diesem Zusammenhang möchten wir einen Blick auf die aktuellen NIST-Passwortrichtlinien für 2021 werfen, um Ihnen zu helfen, die besten Passwortpraktiken zu erkennen, um sich gegen aktuelle Bedrohungen der Cybersicherheit zu schützen.
NIST-Passwortrichtlinien
Seit 2014 hat das National Institute of Standards and Technology Richtlinien, Empfehlungen und Kontrollen für die Authentifizierung von Identitäten herausgegeben, einschließlich optimaler Passwort-Richtlinienpraktiken.
Diese Richtlinien haben sich im Laufe der Jahre weiterentwickelt, da es mehrere Überarbeitungen gab, insbesondere in den Jahren 2017 und 2019. Die NIST-Passwortrichtlinien decken wesentliche Praktiken für die Erstellung und Verwaltung von Passwörtern sowie Anforderungen für die Validierung dieser Passwörter ab.
Das Hauptziel der NIST-Passwortrichtlinien ist es, eine starke Passwortsicherheit für Benutzer und Unternehmen zu schaffen und den privilegierten Zugriff streng zu kontrollieren. Diese Richtlinien ermöglichen es Organisationen und Unternehmen, sich besser gegen Credential Stuffing, Brute-Force-Angriffe und andere Einbruchsversuche zu schützen. Mit all dem im Hinterkopf werfen wir zuerst einen Blick auf die veralteten Passwortempfehlungen und gehen dann zu den neuesten NIST-Richtlinien für Passwörter für 2021 über.
Veraltete Passwortempfehlungen
Die meisten Unternehmen wenden veraltete Passwortpraktiken an, die auf einer Reihe grundlegender Kriterien basieren. Diese Kriterien umfassen im Allgemeinen drei Hauptleitlinien zur Passwortsicherheit:
- Erzwingen regelmäßiger Passwortänderungen
- Erfordern, dass jedes neue Passwort einzigartig ist und in keiner Form zuvor verwendet wurde
- Sicherstellen, dass jedes Passwort komplex ist und aus alphabetischen (Klein- und Großbuchstaben) und numerischen Zeichen sowie anderen Sonderzeichen besteht.
Diese Richtlinien werden von vielen Unternehmen weithin akzeptiert und seit Jahrzehnten verwendet. Obwohl an den oben aufgeführten Richtlinien nichts grundsätzlich falsch ist, sind sie nicht ausreichend ausgeklügelt, um den modernen Sicherheitsanforderungen gerecht zu werden.
Die Tatsache, dass etwa 57 % der Menschen diese veralteten Praktiken immer noch anwenden, bedeutet, dass die Tür für Phishing und Malware-Angriffe für Angreifer nach wie vor weit offen steht. Wir sind an die veralteten Empfehlungen gewöhnt und müssen neue Passwortmanagement-Praktiken anwenden, um maximale Sicherheit zu gewährleisten. Dies führt uns zum nächsten entscheidenden Thema.
Aktualisierte Passwortempfehlungen
NIST hat eine überarbeitete Reihe von Richtlinien veröffentlicht, die die empfohlenen Sicherheitspraktiken abdecken, die am besten auf die heutige Umgebung zutreffen. Dieses Thema erfordert einen eigenen Artikel, daher werden wir nicht auf alle Einzelheiten eingehen. Trotzdem möchten wir einen genauen Blick auf die neuesten Passwortempfehlungen in Bezug auf die bestehenden Sicherheitspraktiken werfen:
Alphanumerische Zeichen
Das alphanumerische Passwortsystem scheint so alt zu sein wie die Passwörter selbst. Die Kombination aus Klein- und Großbuchstaben mit Zahlen und Sonderzeichen, um ein Passwort «stärker» zu machen, ist eine Praxis, die heutzutage fast jedes Sicherheitssystem anwendet.
Die NIST-Passwortrichtlinien besagen jedoch, dass dieses System nicht unbedingt für robustere und sicherere Passwörter sorgt.
Die neuen NIST-Passwortrichtlinien betonen ein dynamischeres System, bei dem die Benutzer ihre Passwörter erstellen, indem sie ihre neuen Passwörter mit schwachen Passwörtern und solchen vergleichen, die zu Lecks geführt haben.
Passwortlänge
Die aktuelle Praxis besagt, dass Passwörter etwa 8 bis 10 Zeichen lang sein sollten. Dies ist einer der wesentlichen Aspekte, die geändert werden müssen, da die NIST-Passwortrichtlinien empfehlen, dass Passwörter mit mindestens 64 Zeichen erlaubt sein sollten.
Ein so langes Passwort mag wie eine Unannehmlichkeit erscheinen. Es ist jedoch viel einfacher, sich einen einzigartigen Satz als Passwort zu merken, als ein Kauderwelsch aus zufälligen Zahlen und Zeichen zu verwenden.
Passworthinweise
«Wie hieß Ihr Haustier aus Kindertagen?» und «Der Name Ihres ersten Lehrers» sind alltägliche Passworthinweise, die Benutzer verwenden, wenn sie ein vergessenes Passwort wiederherstellen müssen. Die Qualität dieser Passworthinweise lässt jedoch oft zu wünschen übrig, insbesondere in der heutigen überbelichteten Social-Media-Ära.
Die neuen NIST-Passwortrichtlinien raten den Benutzern, von Passworthinweisen Abstand zu nehmen. Stattdessen sollten sie Multi-Faktor-Authentifizierung als fortschrittlichere und sicherere Methode der Passwortsicherheit verwenden.
Sie können die MFA so einstellen, dass sie Sie anhand Ihres Fingerabdrucks, digitalen Zertifikats, Hardware-Tokens, Standorts, Zeit und vielem mehr identifiziert. Dies ist ein Sicherheitsmaßnahme, die viel schwerer zu hacken ist und das Risiko, dass Ihre Daten geleakt werden, erheblich senkt.
Erzwungene Passwortänderungen
Die neuen NIST-Passwortrichtlinien verringern den Wert erzwungener Passwortänderungen nach Zeitplan. Sie unterstützen diese Haltung, indem sie argumentieren, dass die Schwäche des Benutzers, nach Passwortmustern zu suchen, wie das Ändern nur weniger Zahlen oder das Austauschen von Zeichen, das Passwort schwächt und die Änderung nicht so signifikant macht, wie sie sein sollte. Außerdem ist eine erzwungene Passwortänderung sinnlos, wenn Hacker bereits die Informationen des Benutzers haben und der Benutzer nur geringfügige Änderungen am bestehenden Passwort vornimmt.
Passwörter kopieren und einfügen
Überraschenderweise hat NIST seine Perspektive seit der letzten Überarbeitung vollständig geändert. Das Institut war zuvor völlig dagegen, Copy/Paste-Funktionen beim Eingeben von Passwörtern zu ermöglichen. Die neuen Richtlinien zielen jedoch darauf ab, diese Empfehlung umzukehren.
Der Grund für diese Änderung der Empfehlung ist, dass das Kopieren und Einfügen komplexer Passwörter die Mitarbeiter nur ermutigen wird, keine einfacheren Passwörter zu verwenden, sondern zu Passwortmanagern zu wechseln. Diese Passwortmanager würden es ihnen dann ermöglichen, Passwörter zufällig zu generieren und zu speichern, um sie bequem zu verwenden, ohne ihre Sicherheit zu gefährden.
Die Bedeutung von Passwortmanagern und 2FA
Der beste Weg, um maximale Privatsphäre und Sicherheit Ihrer Passwörter zu gewährleisten, besteht darin, zwei Praktiken zu implementieren: einen Passwortmanager zu verwenden und die Zwei-Faktor-Authentifizierung zu nutzen. Bei letzterem sind sich alle einig, dass die Verwendung der Zwei-Faktor-Authentifizierung eine sehr starke Sicherheitsschicht für Ihre Informationen hinzufügt. Alle Experten sind sich einig, dass passwortlose Logins die Zukunft sind. Es ist nur eine Frage der Zeit, wann Unternehmen diese Authentifizierungsmethode übernehmen werden.
Wenn es jedoch um Passwortmanager geht, gehen die Meinungen der Experten auseinander. Für einige sind Passwortmanager ein notwendiges und sehr praktisches Werkzeug zur Gewährleistung von Privatsphäre und Sicherheit. Für andere sind sie nur ein Werkzeug, um das allgemeine Problem zu kaschieren, indem sie die Passwörter hinter einem weiteren Passwort speichern.
Dies liegt daran, dass es schwierig ist, NIST-konforme Passwortgeneratoren zu finden, die alle Standards und Anforderungen erfüllen. Das Beste, was Sie tun können, ist, einen zuverlässigen und sicheren Passwortgenerator und -manager zu finden, um Ihre wertvollen Daten vor dem Zugriff Unbefugter zu schützen.
Aus diesem Grund ist die Verwendung von kompakten All-in-One-Bluetooth-Schlüsseln wie dem Hideez Key 3 oder dem Hideez Key 4 eine einfache und elegante Lösung für Ihre Passwortmanagement-Anforderungen. Er ermöglicht es Ihnen, bis zu 2.000 Anmeldedaten und Passwörter in einem Hardware-Tresor zu speichern. Darüber hinaus dient er als multifunktionaler Sicherheitsschlüssel, der Ihnen hilft, einzigartige und robuste Passwörter sowie Einmalkennwörter für die Multi-Faktor-Authentifizierung zu generieren.
Das Beste daran ist, dass eine solche Passwortverwaltungslösung nicht nur für persönliche Bedürfnisse, sondern auch für den Unternehmensgebrauch implementiert werden kann und viele weitere wertvolle Funktionen bietet, die perfekt für eine Multi-User-Umgebung geeignet wären. Um mehr zu erfahren, kontaktieren Sie uns bitte hier oder fordern Sie einen kostenlosen personalisierten Test an:
