{"id":2040,"date":"2016-09-20T17:48:07","date_gmt":"2016-09-20T15:48:07","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=2040"},"modified":"2016-09-20T17:48:07","modified_gmt":"2016-09-20T15:48:07","slug":"regelmaessige-passwortaenderungen-alle-90-tage-sinnvoll-oder-kontraproduktiv-eine-kritik-an-der-gaengigen-praxis","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/informationssicherheit\/regelmaessige-passwortaenderungen-alle-90-tage-sinnvoll-oder-kontraproduktiv-eine-kritik-an-der-gaengigen-praxis\/","title":{"rendered":"Regelm\u00e4\u00dfige Passwort\u00e4nderungen alle 90 Tage – sinnvoll oder kontraproduktiv? Eine Kritik an der g\u00e4ngigen Praxis!"},"content":{"rendered":"

Regelm\u00e4\u00dfige Passwort\u00e4nderungen alle 90 Tage bzw. alle 3 Monate ist eine g\u00e4ngige Praxis in der IT-Sicherheit und wird auch von diversen Sicherheitsstandards wie zum Beispiel dem PCI DSS oder auch etwas allgemeiner von der ISO 27002 vorgeschrieben. F\u00fcr diese Praxis sprechen zwei Gr\u00fcnde:<\/p>\n

    \n
  1. Wird ein Passwort „geklaut“, d.h. ist ein Benutzeraccount kompromittiert worden und es wurde nicht gemerkt, kann ein Angreifer mit dem „geklauten“ Passwort nur einen \u00fcberschaubaren Zeitraum lang etwas anfangen. Danach\u00a0wird es ohnehin wieder ge\u00e4ndert.<\/li>\n
  2. Werden\u00a0gehashte Passw\u00f6rter von einem System abgezogen, kann es je nach verwendetem Hashalgorithmus und Passwort deutlich l\u00e4nger als 90 Tage dauern, bis ein Passwort rekonstruiert werden kann.<\/li>\n<\/ol>\n

    Die Vorteile einer Richtlinie zu regelm\u00e4\u00dfigen Passwort\u00e4nderungen sind damit klar. Sie erh\u00f6hen das Sicherheitsniveau. Nat\u00fcrlich ist es f\u00fcr Nutzer etwas unbequem, regelm\u00e4\u00dfig die eigenen Passw\u00f6rter zu \u00e4ndern und vor allem neu zu merken, aber nat\u00fcrlich sind sie bereit ganz im Sinne der Sicherheit dieses zu tun und zeigen sogar Verst\u00e4ndnis daf\u00fcr. Diese spezielle Sicherheitsma\u00dfnahme muss Nutzern zwar erkl\u00e4rt werden, aber sind die Einf\u00fchrungsschwierigkeiten erst einmal \u00fcberwunden und wird das Thema regelm\u00e4\u00dfig \u00fcber Security Awareness Kampagnen behandelt, ist alles kein Problem.<\/p>\n

    Bl\u00f6dsinn.<\/p>\n

    Die Wahrheit sie wie folgt aus: Ein Teil der IT-Nutzer ist\u00a0grunds\u00e4tzlich und stets mit der regelm\u00e4\u00dfigen \u00c4nderung \u00fcberfordert und vergisst\u00a0das Passwort in gewohnter Regelm\u00e4\u00dfigkeit. Und der Rest? Der hat die Intention dieser Richtlinie einfach dezent umgangen, z.B. mit „Buxtehude-2016Q1“. Es ist schon ein super Passwort: Gro\u00df- und Kleinschreibung, Sonderzeichen, Zahlen, in diesem Fall sogar 16 Zeichen lang. Top. Alternativ kann man auch das Passwort unter die Tastatur kleben – ein alter\u00a0Witz aus der IT-Sicherheit:\u00a0Woran merkt\u00a0man, dass ein Password Change durchgesetzt wurde? Die Bestellungen f\u00fcr Post-its steigen rasant an!<\/em> Nat\u00fcrlich gibt es ein paar Security-Enthusiasten, die eine solche Passwortrichtlinie ganz in dem eigentlichen Sinne umsetzen. Das sind aber nur Einzelf\u00e4lle.<\/p>\n

    Wie geht man nun damit um? Sofern dem keine Compliancevorschriften o.\u00e4. entgegenstehen, empfehle ich grunds\u00e4tzlich\u00a0auf h\u00e4ufige erzwungene Passwort\u00e4nderungen\u00a0zu verzichten. Sie sind kontraproduktiv und erf\u00fcllen in der Regel nicht den Zweck. Es macht viel mehr Sinn den Nutzern zu erkl\u00e4ren, wie sie\u00a0sich starke Passw\u00f6rter ausdenken und merken kann. Eine j\u00e4hrliche Passwort\u00e4nderung o.\u00e4. kann man immer noch erzwingen, man sollte nur daf\u00fcr sorgen, dass alle Nutzer ausreichend sensibilisiert\u00a0sind und nicht wieder mit der Iteration von Passw\u00f6rter beginnen.<\/p>\n

    Leider vertrete ich mit meiner Kritik an der g\u00e4ngigen Praxis\u00a0immer noch eine Minderheit unter den Sicherheitsexperten, auch wenn sich die Situation langsam verbessert. So erscheinen zum Beispiel immer mehr Untersuchungen und Empfehlungen, die auch kritisch gegen\u00fcber regelm\u00e4\u00dfigen Passwort\u00e4nderungen\u00a0sind:<\/p>\n

    „Using this framework, we confirm previous conjectures
    \nthat the effectiveness of expiration in
    \nmeeting its intended goal is weak.“<\/p><\/blockquote>\n

    The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis,\u00a0University of North Carolina,\u00a0https:\/\/www.cs.unc.edu\/~reiter\/papers\/2010\/CCS.pdf<\/p>\n

    „[..] the burden appears to shift to those who continue to
    \nsupport password aging policies, to explain why, and in which
    \nspecific circumstances, a substantiating benefit is evident.“<\/p><\/blockquote>\n

    Quantifying the Security Advantage of Password Expiration Policies,\u00a0School of Computer Science, Carleton University, Canada,\u00a0http:\/\/people.scs.carleton.ca\/~paulv\/papers\/expiration-authorcopy.pdf<\/p>\n

    „Regular password changing harms rather than improves security, so avoid placing this burden on users“<\/p><\/blockquote>\n

    Communications-Electronics Security Group, a group within the UK Government Communications Headquarters (GCHQ),\u00a0https:\/\/www.cesg.gov.uk\/content\/files\/document_files\/Password_guidance_-_simplifying_your_approach_back_cover.pdf<\/p>\n

    „Generally, password expiration periods are not of much help
    \nin mitigating cracking because they have such a small effect on
    \nthe amount of effort an attacker would need to expend,
    \nas compared to the effect of other password policy elements.“<\/p><\/blockquote>\n

    NIST Special Publication (SP) 800-118 (DRAFT),\u00a0http:\/\/csrc.nist.gov\/publications\/drafts\/800-118\/draft-sp800-118.pdf<\/p>\n","protected":false},"excerpt":{"rendered":"

    Regelm\u00e4\u00dfige Passwort\u00e4nderungen alle 90 Tage bzw. alle 3 Monate ist eine g\u00e4ngige Praxis in der IT-Sicherheit und wird auch von diversen Sicherheitsstandards wie zum Beispiel dem PCI DSS oder auch etwas allgemeiner von der ISO 27002 vorgeschrieben. F\u00fcr diese Praxis sprechen zwei Gr\u00fcnde: Wird ein Passwort „geklaut“, d.h. ist ein Benutzeraccount kompromittiert worden und es … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[39],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-2040","6":"format-standard","7":"category-informationssicherheit","8":"post_tag-passwoerter"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2040","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=2040"}],"version-history":[{"count":33,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2040\/revisions"}],"predecessor-version":[{"id":2074,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2040\/revisions\/2074"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=2040"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=2040"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=2040"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}