“Kri­tisch bleibt frei­lich die Fra­ge, ob man sich zum gege­be­nen Zeit­punkt noch an sei­ne bewuss­te Lüge erin­nern kann — aber die­ses Pro­blem ist fast jeder Lüge imma­nent.” – Mat­thi­as Herkert

Von star­ken Pass­wör­tern, Lügen und dem Kon­flikt zwi­schen Pass­wort­län­ge und Displaygröße

Vor dem Hin­ter­grund, dass die Anmel­dung zur Nut­zung von IT-Devices und IT-Strukturen mit­tels Nutz­na­men und Pass­wort nach wie vor das gän­gigs­te Ver­fah­ren zur Authen­ti­fi­zie­rung dar­stellt, lis­tet der Bei­trag des LfDI BW zehn Hin­wei­se zur Aus­wahl „siche­rer“ Pass­wör­ter und zum Pass­wort­ma­nage­ment auf.  Dabei führt der Lan­des­be­auf­trag­te „alte Bekann­te“ wie die Emp­feh­lung für star­ke Pass­wor­te (d.h. lan­ge Pass­wor­te mit Klein- und Groß­buch­sta­ben, Zif­fern und Satz­zei­chen) an, die mit Aus­sa­gen wie „je wich­ti­ger das Pass­wort ist, des­to län­ger soll­te es sein“ kaum Neu­es brin­gen und schlägt ein­mal mehr „Sys­te­me“ zur Ent­wick­lung und Memo­rie­rung von Pass­wör­tern wie die „Ganze-Satz-Methode“ und die „erster-Buchstaben-Methode“ vor. Zusam­men mit der Emp­feh­lung kei­ne Wör­ter aus Wör­ter­bü­chern zu ver­wen­den, siche­re Pass­wör­ter auch auf Smart­phones zu ver­wen­den, Pass­wör­ter nicht wei­ter­zu­ge­ben und vor­ein­ge­stell­te Standard-Passwörter bei der ers­ten Ver­wen­dung des Diens­tes / Sys­tems sofort zu ändern, erscheint der Emp­feh­lungs­ka­ta­log an eini­gen Stel­len zum einen bei­na­he „über­ra­schend pau­schal“ — erschre­ckend zum ande­ren, dass sol­che Emp­feh­lun­gen auch heu­te zwei­fel­los noch sinn­voll und not­wen­dig sind.

Durch­dacht und im Schlag­licht des Daten­schut­zes gleich in  mehr­fa­cher Sicht sinn­voll, erscheint indes die Emp­feh­lung zur „Lüge bei Sicher­heits­fra­gen“. Hier rät der Lan­des­be­auf­trag­te von Baden-Württemberg dazu, bei Sicher­heits­fra­gen von Diens­ten, die nach per­sön­li­chen Infor­ma­tio­nen als Ant­wort fra­gen („Wohin sind Sie zum ers­ten mal in Urlaub geflo­gen“ oder „Wie war der Name Ihres bes­ten Freun­des in der Grund­schu­le“) zur bewuss­ten Lüge. Zum einen wird hier­durch ver­hin­dert, dass Angrei­fer aus dem Umfeld des Pass­wort­ver­wen­ders die­ses all­zu leicht erra­ten kön­nen, zum ande­ren fin­den Infor­ma­tio­nen nicht über „Umwe­ge“ den Weg z.B. ins Inter­net, für die es dort kei­ne Not­wen­dig­keit zur Ver­ar­bei­tung gibt.

Kri­tisch bleibt frei­lich die Fra­ge, ob man sich zum gege­be­nen Zeit­punkt noch an sei­ne bewuss­te Lüge erin­nern kann —  aber die­ses Pro­blem ist fast jeder Lüge immanent.

Wei­ter bricht der Lan­des­be­auf­trag­te ins­ei­ner Emp­feh­lung, Pass­wör­ter nur bei einem Ver­dacht der Kom­pro­mit­tie­rung zu ändern, mit der lang­jäh­ri­gen Emp­feh­lungs­pra­xis vie­ler IT-Sicherheits­beauftragter, Pass­wör­ter in regel­mä­ßi­gen Abstän­den zu erneu­ern. Der LfDI BW folgt damit der Emp­feh­lung des Natio­nal Cyber Secu­ri­ty Cent­re (NCSC) wie auch des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy des U.S. Depart­ment of Com­mer­ce (NIST), zu Ände­run­gen nur bei Hin­wei­sen auf Kom­pro­mit­tie­run­gen von Pass­wör­tern oder Passwort-Hashes. Hin­wei­se auf eine „Aus­spä­hung“ des eige­nen Pass­worts kön­nen auf­fäl­li­ge oder uner­war­te­te Pro­gramm­nut­zun­gen genau­so wie unge­wöhn­li­chen Account­ak­ti­vi­tä­ten sein. So sinn­voll die­se Emp­feh­lung indes gegen­über fach­lich qua­li­fi­zier­ten Nut­zern sein mag, so pro­ble­ma­tisch kann es sein, die „Ent­schei­dung“ über eine mög­lich Kom­pro­mit­tie­rung auf den prak­ti­schen Nut­zer im betrieb­li­chen All­tag zu verlagern.

Im Ergeb­nis brin­gen die Emp­feh­lun­gen kaum Neu­es, fas­sen jedoch den Stand der Dis­kus­si­on zur Pass­wort­si­cher­heit mit Blick­rich­tung auf den pri­va­ten wie betrieb­li­chen Anwen­der noch­mals gut zusam­men. Ob sich resis­ten­te „Trivialpasswort-Anwender“ hier­durch zukünf­tig zu einem siche­re­ren Umgang mit Log­in­da­ten bewe­gen las­sen, darf jedoch bezwei­felt werden.

Hier fin­den Sie die Emp­feh­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Baden-Württemberg online auf der Home­page des LfDI BW.