Sinn von strengen Passwort-Restriktionen

  • Hallo zusammen,

    immer mal wieder muss ich über Firmen den Kopf schütteln, die eine oder mehrere der folgenden Restriktionen für die Vergabe von Passwörtern voraussetzen:

    a) Passwort muss regelmäßig geändert werden.
    b) Passwort muss eine Mindestlänge haben.
    c) Passwort muss bestimmte Zeichenarten enthalten.
    d) Neues Passwort darf altes Passwort nicht enthalten oder diesem zu sehr ähneln.

    Besonders Restriktion a) halte ich für kontraproduktiv, da man sich wöchentlich, monatlich oder quartalsweise zu ändernde Passwörter oft kaum noch merken kann, besonders wenn noch Restriktionen b) - d) hinzukommen, und dies letztlich bei den meisten Usern dazu führt, dass sich diese die Passwörter aufschreiben müssen und zudem meist sehr ähnliche Passwörter ("passwort1", "passwort2", ...) verwenden.

    Was ich mich dazu frage:
    1. Ist das dann noch sicherer als ein nicht zwangsweise regelmäßig zu änderndes Passwort, welches man sich dafür aber merken kann und nicht aufzuschreiben braucht?
    2. Wollen die Firmen nur die Verantwortung für die Passwortsicherheit mehr und mehr auf den User verlagern und überfordern damit die meisten User wissentlich, Hauptsache, ihre Regularien sind theoretisch sicher, wenn auch kaum noch praktikabel?

    Was ist Eure Meinung zu diesem Thema?

  • Sinn macht das schon. Es ist aber m. E. nicht Sache des Betreibers einer Internetseite, das Login derart zu reglementieren. Firmen, die das wie oben beschrieben praktizieren, mögen aber bestimmt auch von der Angst vor Regressansprüchen getrieben sein. Wenn man den Enduser ausdrücklich zum generieren eines starken Passworts auffordert, kann der Enduser hinterher nicht sagen, er habe nichts gewusst.


    Zitat von dark_rider


    a) Passwort muss regelmäßig geändert werden.
    b) Passwort muss eine Mindestlänge haben.
    c) Passwort muss bestimmte Zeichenarten enthalten.


    Diese drei Punkte sollten ohnehin selbstverständlich sein. Sonst kann man gleich ein Passwort aus den Top 10 nehmen.


    Zitat


    d) Neues Passwort darf altes Passwort nicht enthalten oder diesem zu sehr ähneln.


    Macht auch Sinn. Immerhin neigen viele User dazu, beim Passwortwechsel einfach hochzuzählen, also aus oma123 der Einfachheit halber opa234 zu machen.


    Hier ein paar sehr eindrucksvolle Rechenszenarien: http://www.1pw.de/brute-force.html

    Nach der Lektüre dürfte selbst dem faulsten Passwortkritiker klar sein, dass ein starkes Passwort zwingend ist. Und dass nicht nur beim OnlineBanking. Selbst ein geknackter wer-kennt-wen-Account kann äußerst unschöne Folge für den Besitzer haben, denen sich ganz bestimmt niemand gerne ausgesetzt sehen möchte.

  • Hallo Docc,

    Zitat von Docc

    Sinn macht das schon. Es ist aber m. E. nicht Sache des Betreibers einer Internetseite, das Login derart zu reglementieren. Firmen, die das wie oben beschrieben praktizieren, mögen aber bestimmt auch von der Angst vor Regressansprüchen getrieben sein. Wenn man den Enduser ausdrücklich zum generieren eines starken Passworts auffordert, kann der Enduser hinterher nicht sagen, er habe nichts gewusst.


    Klar macht ein starkes Passwort prinzipiell schon Sinn, nur - wie Du sagst - sollte das letztlich jedem User selbst überlassen sein. D.h. "Basis-Restriktionen" (z.B. keine Passwörter mit nur 2-3 Zeichen oder immer demselben Zeichen) sind ja OK, aber - wie gesagt - führen teilweise extrem strenge Regularien doch nur dazu, dass sich der User sein aktuelles Passwort eben nicht mehr merken kann und es daher notieren muss. Ist daher dann aus Deiner Sicht ein mittelstarkes Passwort sicherer, das man sich merkt und nirgends notiert, oder ein sehr starkes Passwort, das man sich notieren muss?

  • Und genau da kommen gute Paßwort-Manager ins Spiel. Man braucht im besten Fall genau 1 Paßwort, daß man sich merken muß, die Paßwörter (selbstverständlich pro Zugang ein anderes) für die einzelnen Zugänge verwaltet dieser. Ich kenne zum Beispiel die Paßwörter, die ich (zum Beispiel in diesem Forum) verwende überhaupt nicht, sie interessieren mich auch nicht. Aber sie sind so konfiguriert, daß sie den maximalen Möglichkeiten, die ein Zugang erlaubt, ausschöpfen.

    Ich verwende dazu KeePass, bei dem ich auch noch die Möglichkeit habe, den Hauptzugang durch eine Sicherungsdatei auf einem Stick ö. ä. abzusichern. Melde ich mich an, drücke ich 1 Tastenkombination (immer dieselbe, egal wo), den Rest erledigt KeePass alleine. Damit habe ich einen Komfort, der selbst mit simplen Paßwörtern (mal von "123" abgesehen) nicht erreichbar ist und eine Paßwort-Sicherheit, die praktisch nicht mehr zu toppen ist.

    Ende vom Lied: Ich schüttle wegen Restriktionen nicht den Kopf. Wenn ich aber beobachte, was so an "Paßwörtern" im Einsatz ist, muß ich aufpassen, daß der Kopf nicht vor lauter Schüttelei abfällt.

  • Hallo Cosmo,

    ändert Dein Keepass die Passwörter denn auch noch regelmäßig selbst, oder bleiben diese dauerhaft gleich?

    Ich persönlich bin bei solchen Passwort-Verwaltern immer sehr skeptisch, denn das jeweilige Programm hat quasi die Möglichkeit, Deine Identität zu übernehmen. Arbeitet Keepass lokal auf Deinem PC oder online, und ist das (zumindest theoretisch überprüfbarer) Open Source?

  • Hallöchen zusammen,

    interessantes Thema!

    Zitat von Cosmo

    Und genau da kommen gute Paßwort-Manager ins Spiel.

    Öhm... Jain! Ich kenne Firmen, in denen diese gar nicht erlaubt sind! :shock:


    Zitat von Cosmo

    Man braucht im besten Fall genau 1 Paßwort, daß man sich merken muß, die Paßwörter (selbstverständlich pro Zugang ein anderes) für die einzelnen Zugänge verwaltet dieser. Ich kenne zum Beispiel die Paßwörter, die ich (zum Beispiel in diesem Forum) verwende überhaupt nicht, sie interessieren mich auch nicht. Aber sie sind so konfiguriert, daß sie den maximalen Möglichkeiten, die ein Zugang erlaubt, ausschöpfen.

    Da bin ich auch gerade dabei, daß ich umsteige auf einen vernünftigen Passwortmanager.


    Zitat von Cosmo

    Ich verwende dazu KeePass, bei dem ich auch noch die Möglichkeit habe, den Hauptzugang durch eine Sicherungsdatei auf einem Stick ö. ä. abzusichern. Melde ich mich an, drücke ich 1 Tastenkombination (immer dieselbe, egal wo), den Rest erledigt KeePass alleine. Damit habe ich einen Komfort, der selbst mit simplen Paßwörtern (mal von "123" abgesehen) nicht erreichbar ist und eine Paßwort-Sicherheit, die praktisch nicht mehr zu toppen ist.

    Ich habe mich für LastPass entschieden, da es auch mit SeaMonkey funktioniert! Scheint bis jetzt zu klappen, Probleme konnte ich jedenfalls noch keine feststellen.


    Zitat von Cosmo

    Ende vom Lied: Ich schüttle wegen Restriktionen nicht den Kopf. Wenn ich aber beobachte, was so an "Paßwörtern" im Einsatz ist, muß ich aufpassen, daß der Kopf nicht vor lauter Schüttelei abfällt.

    Jo, stimmt! Die Top 100 der Paßwörter sieht echt zum fürchten aus.


    Grüße aus Augsburg

    Mike

  • Zitat von TmoWizard

    Ich habe mich für LastPass entschieden, […]

    In welchem Adressraum werden die Passwörter gespeichert ?
    Ich frage deshalb, weil hier Seahorse (Wiki uu.de) läuft. D.h. innerhalb meines Accounts gibt es keine Spuren des Passworts.

    Leider läuft die Erweiterung gnome-keyring_password_integration-..-linux derzeit nicht mehr, denn sie übernahm die Passwortverwaltung des Fx.

  • Zitat von dark_rider

    ändert Dein Keepass die Passwörter denn auch noch regelmäßig selbst, oder bleiben diese dauerhaft gleich?

    Die Paßwörter werden nicht automatisch geändert - das geht auch nicht, es sei denn KP würde mit der betreffenden Webseite (oder was auch immer ) interagieren. Ich kann aber ganz simpel ein neues, komplexes Paßwort in KP erstellen lassen und setze das dann auf dem betreffenden Zugang als neues Paßwort ein.

    KP arbeitet lokal auf dem Rechner. Es ist OpenSource und gehört in dieser Szene zu den renommiertesten Projekten überhaupt. Unter anderem wird es auch vom BSI empfohlen.

    TmoWizard:
    Für Linux müßtest du mal nach KeePassX gucken. Zu LastPass kann ich nichts aus eigener Erfahrung sagen, die beiden also auch nicht vergleichen. Dieser Artikel über Paßwort-Manager könnte für dich interessant sein, und wenn ich dem [url=http://www.computerwoche.de/a/die-besten-passwort-manager,2519783]Artikel[/url] folge, so wäre IMO die Tatsache, daß LP die Daten auf einem US-Server speichert ein NoGo. Siehe auch diesen Artikel bei Ubuntuusers, wo KPX genannt wird.

    Wenn solche Software in Firmen verboten ist, ist das deren Entscheidung, aber in Camp Firefox sind die meisten Teilnehmer Privatleute, davon also nicht betroffen. Und über die Gründe für solche Verbote kann man frei spekulieren, das bringt aber nichts.

  • Zitat von dark_rider

    ...nicht mehr merken kann und es daher notieren muss.


    Ob man ein Passwort irgendwo notiert, muss jeder selbst entscheiden. Diese Notiz ist zumindest solange sicher, wie sie keinem anderen in die Hände fällt. Aber ein starkes Passwort auf dem Zettel ist immer noch besser als eine im Rechner gespeicherte Datei, in der schön sauber in eine Excel-Tabelle Login Site, Benutzername und Kennwort aufgelistet sind. Die Dinger findet jeder Passwortcrawler in Nullkommanix und reportiert sie in die Ukraine.


    Zitat

    Ist daher dann aus Deiner Sicht ein mittelstarkes Passwort sicherer, das man sich merkt und nirgends notiert, oder ein sehr starkes Passwort, das man sich notieren muss?


    Ein starkes Passwort, bestehend aus Buchstaben, Sonderzeichen und Ziffern, kann kein Mensch behalten. Es macht aber wenig Sinn, einen goldenen Mittelweg zu suchen, um ein Passwort zu generieren, welches man gerade noch im Kopf behalten kann, ohne es aufzuschreiben.

    Vor zehn Jahren konnte man noch relativ gelassen mit einem wechselnden Top10-Passwort hantieren. Heute ist der Risikodruck jedoch so hoch, dass man eigentlich nur noch mit einem softwaregestützten Passwortmanagement (siehe Cosmos Posting) über die Runden kommt, wenn man alle Erfordernisse unter einen Hut bringen will.

  • Zitat von dark_rider

    immer mal wieder muss ich über Firmen den Kopf schütteln, die eine oder mehrere der folgenden Restriktionen für die Vergabe von Passwörtern voraussetzen:

    Wenn ich das richtig verstehe geht es hier nur um Passwörter, die firmenintern genutzt werden, um den Zugang zu irgendwelchen Anwendungen zu gestatten und nicht um Passwörter, die nötig sind um sich z.B. hier im Forum einzuloggen.

  • Zitat von Cosmo


    TmoWizard:
    Für Linux müßtest du mal nach KeePassX gucken. Zu LastPass kann ich nichts aus eigener Erfahrung sagen, die beiden also auch nicht vergleichen. Dieser Artikel über Paßwort-Manager könnte für dich interessant sein, und wenn ich dem [url=http://www.computerwoche.de/a/die-besten-passwort-manager,2519783]Artikel[/url] folge, so wäre IMO die Tatsache, daß LP die Daten auf einem US-Server speichert ein NoGo. Siehe auch diesen Artikel bei Ubuntuusers, wo KPX genannt wird.

    :mrgreen: Dafür gibt es aber das Add-on Xmarks, damit speichere ich nämlich meine Paßwörter extra verschlüsselt auf einem von mir ausgesuchten FTP-Server. Das arbeitet einwandfrei mit dem LP-Addon zusammen, also nix USA! :mrgreen:

    (Edit: Xmarks muß aber über die install.rdf erst angepaßt werden!)

    Zitat von Cosmo

    Wenn solche Software in Firmen verboten ist, ist das deren Entscheidung, aber in Camp Firefox sind die meisten Teilnehmer Privatleute, davon also nicht betroffen. Und über die Gründe für solche Verbote kann man frei spekulieren, das bringt aber nichts.

    Stimmt!


    Viele Grüße aus Augsburg

    Mike

  • Hallo zusammen,

    mit "Firmen" meinte ich alle möglichen Anbieter, bei denen man Kunde sein kann und sich einloggen muss. Also nicht nur den eigenen Arbeitgeber. Pardon, wenn das vielleicht missverständlich rüberkam, aber die meisten haben es ja richtig verstanden.

    Ich bleibe bei Passwortmanagern weiterhin skeptisch, da sie ja letztlich auch in die Richtung "Passwörter aufschreiben" gehen und das Konzept hinter einem Passwort ganz prinzipiell ad absurdum führen. Zwar mag der "Passwort-Safe" geschützt sein, aber wie wir ja alle wissen: Viele Programme sowie Windows sind auch "eigentlich" sicher, nur gibt es trotzdem immer wieder Sicherheitslücken. Nicht auszudenken, wenn Hacker einen Passwortmanager knacken.

    Aber natürlich gäbe es sie erst gar nicht, wenn das Dilemma nicht wäre, dass man sich, wenn man alle Passwörter so stark setzt, wie es optimal ist und meist empfohlen wird, gar nichts mehr merken kann und eben alles aufschreiben muss.

    Oder metaphorisch ausgedrückt: Das ist fast so, als wenn ein Auto zum Unfallschutz besonders große und kräftige Airbags hat, wegen denen man dann aber nur noch mit Helm fahren sollte, der wiederum das Sichtfeld einengt. Sprich man möchte auf Nummer 100% sicher gehen, handelt sich dadurch aber andere Nachteile ein.

  • Du unterliegst einem Mißverständnis: Im Falle des Open-Source-KeePass gibt es nichts zu knacken, eben weil es Open Source ist. Zu Knacken gibt es die Datenbank. Das standardmäßig verwendete System AES256 ist natürlich wie alles in der Welt knackbar, der Rechenaufwand dafür beziffert sich aber mit den schnellsten zur Zeit verfügbaren Supercomputern auf eine Dauer, bei der nicht einmal die Erde existieren wird (weil die Sonne explodiert ist). AES256 ist entwickelt worden für die Zwecke der amerikanischen Regierung und dort für die höchste Geheimhaltungsstufe freigegeben. Im übrigen kann man mit KeePass die Datenbank so einrichten, daß auch ein Brute Force Angriff verzögert erfolgt (und das ist in der Datenbank nicht änderbar, solange sie nicht geknackt ist).

    Der wirkliche Schwachpunkt bei sicheren Paßwortmanagern ist ein schwacher Hauptschlüssel, aber das liegt einzig beim Benutzer. Wenn man in KP zusätzlich noch eine Schlüsseldatei verwendet ist selbst das relativ. Zu glauben, daß eine AES-verschlüsselte Datei mit sicherem Paßwort in der Praxis geknackt werden kann würde notwendigerweise bedeuten, an die Sicherheit von allem und jeden in der Welt zu zweifeln; dann sollte man sich am besten einsargen lassen. Die Chance, eine Keylogger in ein System zu schmuggeln, der Paßwörter mitliest, ist mit Sicherheit höher als ein erfolgreicher Angriff auf eine solche Datenbank. Wenn man aber trotz dieser realistischen Betrachtungsweise dennoch zu dem Schluß kommt, daß man einen Computer niemals dazu benutzt, um eine Online-Verbindung zu was auch immer herzustellen - ja, und dann braucht man natürlich auch weder Paßwörter noch Manager dafür.

    Für solche Leute könnte der Kompromiß allerhöchstens darin bestehen, ein Live-System von CD zu verwenden und mindestens 1 Mal stündlich neu starten.

  • Hallo Cosmo,

    dass AES256 zwar theoretisch knackbar, in der Praxis aber als sicher gelten darf, da stimme ich mit Dir überein. Meine Bauchschmerzen beziehen sich eher auf das andere von Dir genannte mögliche Risiko: Keylogger oder ein unsicheres Hauptpasswort (bzw. der Fall, dass das Hauptpasswort, aus welchem Grund auch immer, in fremde Hände gerät). OK, wenn man acht gibt, lassen sich auch diese Risiken weitgehend ausschließen, aber nicht völlig. Und beim zentralen Passwort-Safe ist es halt immer so: Hauptpasswort geknackt, alle Zugänge offen. Hast Du wenigstens verschiedene Master-Passwörter für verschiedene Sicherheitsstufen, d.h. bietet Keepass das?

  • ich verwende auch KeePass in der portablen Version, diese liegt bei mir in meiner mit TrueCrypt verschlüsselten Partition (wie alles andere private auch). Zusätzlich habe ich es als Sicherheit noch auf einem Stick (auch in einem verschlüsselten Container) und diesen Stick habe ich meinen Freunden gegeben, falls im schlimmsten Fall mal der PC durch Einbruch gestohlen werden sollte, was ich nicht hoffe...

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Achso, das ist natürlich auch zu bedenken: Verwendet man einen Passwort-Safe und weiß die einzelnen Passwörter daher selbst alle gar nicht mehr, hat man natürlich ein Problem, wenn PC oder Platte defekt sind. Zudem ist man mit einer rein lokalen Lösung unterwegs auf anderen PCs natürlich aufgeschmissen.

  • Zitat von dark_rider

    Achso, das ist natürlich auch zu bedenken: Verwendet man einen Passwort-Safe und weiß die einzelnen Passwörter daher selbst alle gar nicht mehr, hat man natürlich ein Problem, wenn PC oder Platte defekt sind. Zudem ist man mit einer rein lokalen Lösung unterwegs auf anderen PCs natürlich aufgeschmissen.

    Wie Zitronella bereits schrieb, läßt sich KP portabel einsetzen - oder auch nur die Datenbank portabel auf Stick mitnehmen. Automatische Lösungen für eine Backup dieser Datei gibt es auch. Wer a ein Problem hat, hat nicht genügend Hirnschmalz investiert.

    Zitat von dark_rider

    Meine Bauchschmerzen beziehen sich eher auf das andere von Dir genannte mögliche Risiko: Keylogger oder ein unsicheres Hauptpasswort (bzw. der Fall, dass das Hauptpasswort, aus welchem Grund auch immer, in fremde Hände gerät).

    Wer seinen Rechner nicht so absichert, daß er keinen Keylogger an Bord hat, sollte seinen Rechner ganz schnell vom Netz trennen. Ansonsten: Was meinst du wohl macht der Keylogger, wenn du ein Zugangs-Paßwort auf der Tastatur eintippst? Eben, dasselbe. Das ist als kein Argument gegen Paßwort-Manager. Und wer ein unsicheres Hauptpasswort verwendet hat ebenfalls ein Problem, daß nicht im Manager, sondern im Benutzer besteht. Was soll glaubhaft machen, daß seine manuell eingetippten Paßwörter weniger unsicher seien? Ebenfalls: nichts. Und da bei KP wie bereits geschrieben auch eine Schlüsseldatei zur Absicherung verwendbar ist, ist selbst das nur ein relatives Problem. Also: Bauchschmerzen unbegründet.

    Zitat von dark_rider

    Hast Du wenigstens verschiedene Master-Passwörter für verschiedene Sicherheitsstufen, d.h. bietet Keepass das?

    Nein, bietet KP nicht, und warum auch? Welcher Unsinn sollte darin bestehen, mehrere Hauptpaßwörter - die man sich ja alle merken müßte - einzusetzen, von denen einige weniger sicher sind? Ein sicheres Hauptpaßwort und die Sache ist gut. Die Idee mit unterschiedlichen Sicherheitsstufen ist bei näherer Betrachtung kontraproduktiv. Hypochonder können aber ihre KP-Datenbank auf ein verschlüsseltes Truecrypt-Volume speichern, doch auch das verschiebt nur die Angriffsmöglichkeiten und löst nicht eine Frage.

  • Hallo Cosmo,

    der Punkt zu Deinen letzten beiden Absätzen ist eben der: Ein Keylogger logt natürlich auch andere Passwörter mit, allerdings hat er mit dem KP-Masterpasswort dann gleich Zugang zu allem auf einen Schlag. Deshalb auch meine Frage nach verschiedenen KP-Passwortgruppen, denn dann wäre immerhin nur eine Gruppe an Passwörtern und nicht alle erspäht.

    Aber, ich sehe schon (das betrifft nicht nur Dich hier, sondern noch so einige andere User, die ich in anderen Threads bereits kennenlernte): Wer hier in diesem Forum eine bestimmte Lösung einsetzt oder eine Meinung vertritt, bezeichnet jeden Zweifler trotz noch so vieler Argumente als Person mit "nicht genügend Hirnschmalz" o.Ä. - wobei eigentlich jeder auf Sicherheit bedachte User wissen sollte, dass Zweifeln und das Nicht-Ausblenden von möglichen Lücken nie verkehrt ist, nach dem Motto "ich weiß, dass ich nichts weiß". Hier scheint dagegen "ich weiß, dass ich alles weiß" beliebter zu sein.

  • Niemand hindert dich, meinethalben für jedes Paßwort eine eigene Paßwortdatenbank anzulegen. Die Sicherheit wird dadurch nicht wirklich verbessert. Da die Handhabung multipler Master-Paßwörter schwieriger ist als die eines einzigen, aber sehr guten, ist aus praktischen Gesichtspunkten die Sicherheit sogar geringer. Aber jeder wie er mag.

    Ich finde zweifeln gut und rückfragen sehr gut. Wenn man denn Antworten bekommt, sollte man sich aber auch inhaltlich mit Ihnen auseinandersetzen. Ich weiß ebenfalls, daß ich nicht alles weiß. Ich schreibe ja auch nicht zu jedem Thema. Was die Verwendung von Paßwortmanagern im allgemeinen und KP im besonderen betrifft kann ich allerdings auf langjährige Erfahrung zurückblicken. Wenn dir die Erfahrungen nicht gefallen, ist das deine Sache, die Erfahrungen ändern dich deswegen nicht. Bemerkungen wie dein letzter Absatz löschen diese Erfahrungen nicht aus. Gib doch statt dessen lieber zu, daß sowohl deine Bedenken wegen verlorener Paßwortdatenbanken, Portabilität oder Keylogger beantwortet wurden. Zumindest hast du zu den dir gegebenen Antworten keine Rückfragen mehr gestellt.