In der letzten Veröffentlichung 800-63-4 hat das NIST die Richtlinien zum Umgang mit Digitalen Identitäten überarbeitet, unter anderem zum Thema Passwörter. Insbesondere die Maßgabe der periodischen Passwortänderung wurde von einem “SHOULD NOT” zu “SHALL NOT” geändert. Wenngleich also vorher eine regelmäßige Passwortänderung nicht empfohlen aber erlaubt war, ist dies zukünftig nicht mehr mit dem Standard konform. Auch die Nutzung der immer noch weit verbreiteten Sicherheitsfragen (knowledge based authentication – KBA) ist nun nicht mehr erlaubt.
Auch die bekannten Komplexitätsklassen werden infrage gestellt. Die explizite Anforderung von Sonderzeichen und Ziffern in Passwörtern erhöht zwar die Entropie der Zeichenfolge, tut dies aber auf eine vorhersehbare Art. Aus einem „passwort“ wird dann gerne ein „Passwort!“, was zwar auf dem Papier „sicherer“, für Angreifende aber leicht zu knacken ist. Es ist immer wichtig zu bedenken, wie Menschen auf technische und organisatorische Änderungen reagieren und die daraus resultierenden Folgen im Blick zu behalten.
Übrigens: Das BSI hat seine Empfehlung zur Änderung der Passwörter in regelmäßigen Zeitabständen im Grundschutz aus dem Baustein ORP.4 bereits in der Edition 2020 entfernt.
https://pages.nist.gov/800-63-4/
https://dl.acm.org/doi/10.1145/1866307.1866327
