Hier können Ansätze und Lösung zur Implementierung von Datenschutz durch Technik diskutiert werden.
3 „Gefällt mir“
Zu “Stand der Technik” kenne ich viele Definitionen, z.B. “bewährt in der Praxis und verfügbar”. Da dürfte es schwierig werden, eine einheitliche Aussage zu erhalten. Und der “aktuelle Stand von Forschung und Wissenschaft” ist möglicherweise nicht sinnvoll für das BSI abzubilden.
Aber klar: 8 Zeichen mit selbst ausgedachter Entropie bei Admin-Accounts sind definitiv nicht Stand der Technik.
Die Aufgabe des alten 8-Zeichen-Dogmas resultiert m.W. aus Untersuchungen an US-Unis, wonach es ab einer bestimmten Kombi aus Länge, Komplexität und Wechselhäufigkeit zu unerwünschten Gegeneffekten kommt… die Leute schreiben sich dann Passwörter auf oder verwenden einfach zu merkende Muster. Da ist dann für die Sicherheit nichts gewonnen.
Wenn ich Audits mache, schaue ich daher, ob die Authentifizierungsvorgabe zum Schutzbedarf passt. Gelegentlich stößt man ja auch auf ältere Systeme, die keine langen Passwörter zulassen. Muss man halt kompensieren.
1 „Gefällt mir“
Kamen die 8 Zeichen nicht ursprünglich vom Cracken der Windows Passwörter (um 2000?), bei denen unabhängig von der Länge des Passworts die zu knackenden Hashes sich immer auf Zeichenketten von 8 Zeichen bezogen?
(Ist lange her…)
Hier ist übrigens die CNIL Recommendation von 2017 - https://www.cnil.fr/sites/default/files/atoms/files/recommandation_passwords_en.pdf
Das ist wie immer eine Einzelfallentscheidung. Es kommt also auf die konkreten Umstände an.
Gegen die Wissenschaft war nicht gemeint. Das BSI wird m.E. schon mit Blick auf die Ressourcen kaum in der Lage sein, stets die neuesten Trends abzubilden; außerdem ist für eine Behörde vielleicht auch ein wenig Zurückhaltung für Trends angezeigt, die von einzelnen Anbietern gepusht werden.
Es geht darum, was wir als Stand der Technik verstehen und vorgeben. Natürlich auf der einen Seite “was ist technisch möglich”, aber eben auch auf der anderen Seite “was ist produkthaft fertig, was hat sich in der Praxis als wirksam gezeigt, was ist finanziell leistbar”. Stand der Wissenschaft ist ersteres, Stand der Technik m.E. letzteres. TeleTrust hat zum Stand der Technik eine Handreichung herausgegeben (2020), in der sie den Unterschied deutlich machen.
Auch für mich ist es keine Frage, dass ich je nach Schutzbedarf (z.B. Domain Admin) entsprechende Vorkehrungen erwarte; wenn es um Authentifizierung geht, dann Passwortmanager, MFA o.ä.
Authentifizierung ist aber auch nur ein Pfeil im Köcher, und wie gesagt: sie muss von den Anwendern umgesetzt werden. Und wenn ich mir das in der betrieblichen Realität ansehe, glaube ich kaum, dass die Zukunft der Authentifizierung in immer längeren Passwörtern steckt.
@anabanana Das würde aber heißen, wenn ich selbst nicht viel Ahnung hätte, dann dürfte das Verlassen auf das BSI nie schädlich sein …
1 „Gefällt mir“
Passwörter sind einerseits eine Frage der Technik, andererseits eine Frage menschlicher Bequemlichkeit und der Handhabbarkeit. Hier sind andere technische Lösungen gefragt, die das Passwort z.B. mit einem Schlüssel oder einer anderen Prüfmöglichkeit verbinden.
Schon bei 8 Zeichen ist die Merkfähigkeit noch dazu bei zeitlicher Befristung für Passwörter deutlich eingeschränkt. Ein Beispiel aus der Praxis möge dies belegen: Kein Grundschüler kann und wird sich ein wechselndes kryptische Passwort für die Lernplattform merken. Also wird er (oder die Eltern) das aufschreiben. Deshalb sind hier andere Authentifizierungsmethoden gefragt, die z.B. über einen USB-Stick mit Schlüssel gehen oder über per Email verschickte Links nach Anmeldung.
Die reine Technik hilft nur, wenn auch die Handhabbarkeit durch die Menschen sichergestellt wird, sonst wird die eine Lücke im System durch oft viele andere konterkariert. Auch das Design der Anwendung spielt dabei eine entscheidende Rolle.
Jup, aber dieses Passwort sollte es dann in sich haben. Leider es gibt immer noch Lehrkräfte (auch an Hochschulen), die vor Passwortmanagern warnen.
Doch man kann sie nicht überall einsetzen, zB nicht in abgesicherten (Arbeits-)Umgebungen, in denen nur bestimmte Applikationen existieren. In diesen Fällen muss sich das Passwort gemerkt werden und schwierig wird es bei regelmäßigen Änderungen (90 Tage etc.). Diese Passwortänderungen haben sich als sicherheitsmindernd herausgestellt, weil die Leute nur Ziffern hochzählen, leicht zu erratende Passwörter nehmen oder es unter die Kaffeetasse kleben und anderen Unsinn machen, auf den man selbst nie kommen würde.
CNIL empfiehlt die Änderungen noch. Ich meine, das NIST hatte den offiziellen Sinneswandel hervorgerufen: “Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.” (https://pages.nist.gov/800-63-3/sp800-63b.html). Dessen Empfehlungen werden in Unternehmen vielfach genutzt und vermutlich auch vom BSI. Darin steht das Minimum von 8 Zeichen und ein Maximum von 64 Zeichen, nach selbst gewählter Komplexität. Aber sie schreiben auch, dass die Anzahl der Fehlversuche limitiert werden soll: “limit consecutive failed authentication attempts on a single account to no more than 100” scheint mir ein wenig viel. 3 Versuche bei 8 Zeichen sind ausreichend…
Oh, den Eindruck, ich bräuchte Informationen zu sicheren Passwörtern, wollte ich nicht erwecken. Auf das Thema dachte ich mit dem Hinweis auf die NIST Guideline geantwortet zu haben. Sorry.
@anon52331922 @anzolino
Ich möchte ergänzen, dass das BSI auf seiner Seite zu Passwörtern auch auf die 2-Faktor-Authentisierung als Ergänzung hinweist. Gut, steht erst am Ende des Beitrages.
Unwissenheit schützt vor Strafe nicht (oder mit den alten Römern: Ignorantia iuris non excusat).
Wer sich auf einen Artikel des BSI beruft, muss ihn auch schon zu Ende lesen. Andernfalls wird er in einem Rechtsstreit mit dem Argument “Aber das BSI hat das doch geschrieben” nicht durchdringen.
1 „Gefällt mir“