Was die neue NIST-Richtlinien für Passwörter bedeuten

vPierre Cloud, Cloud Computing, Cloud Computing Provider / Cloud Computing Anbieter, DevOps, DevSecOps, Sicherheit / Security Leave a Comment

Wir sehen nicht oft Passwörter auf den Titelseiten, aber für eine Woche konnten Sie sich nicht vor den Geschichten über das National Institute of Standards and Technology (NIST) verstecken, das seine Empfehlungen zu so genannten „starken Passwörtern“ abgeändert hatte – Empfehlungen, die versprechen, die Passwort-Erstellung für alle einfacher zu machen. Es war ein seltener Schritt der Amerikanischen Administration, der von der Amerikanischen IT Presse allgemein gefeiert wurde.

Paul Grassi, der Hauptautor der neuen „Digital Identity Guidelines“ (SP 800-63-3), hat die Passwörter richtig gesetzt, aber die neuen Passwort-Regeln sind die unbedeutendste Weiterentwicklung der neuen Richtlinien. Die Technologie-Community muss verstehen, was NIST in dieser historischen Neufassung der Authentifizierungsanleitung wirklich sagt, denn sie sagt Ihnen alles, was Sie über die wirkliche Zukunft von Passwörtern und Einmal-Passcodes (OTPs) wissen müssen, sowie die modernen Authentifizierungsmethoden, die Sie in Zukunft unterstützen sollten.

„Starkes Passwort“ ist ein Oxymoron

Mehr als 80 Prozent aller Datenverstöße nutzen gestohlene oder schwache Kennwörter. Untersuchungen haben auch gezeigt, dass Angreifer, die zuvor das Passwort eines Benutzers gelernt haben, das neue Passwort relativ leicht erraten können.

Also, wann und wie sollten Passwörter verwendet werden?

NIST trennt die Authentifizierungsmethoden in drei Sicherheitsstufen, die je nach Risiko der Anwendung ausgewählt und definiert werden.

Stufe 1 ist die niedrigste und sollte nur dann gewählt werden, wenn die Auswirkungen einer kompromittierten Berechtigung minimal sind oder wenig bis keine negativen Auswirkungen auf einen Benutzer oder eine Organisation haben. Für diese Stufe 1 Anwendungen werden nur Passwörter empfohlen.

Doch wann ist ein Verstoß oder eine Kontoübernahme jemals harmlos? Fragen Sie einfach die 143 Millionen Verbraucher, die mit dem Betrug bei Equifax zu tun hatten. Deshalb ist unter der neuen Anleitung jede Anwendung, die persönliche Daten sammelt, verpflichtet, sich nicht nur mit einem Passwort zu authentifizieren.

Um es klar zu schreiben, für alles, was wir eigentlich schützen wollen, benötigt NIST eine multifaktorielle Authentifizierung, auch bekannt als „starke Authentifizierung“. Aber nicht alle starken Authentifizierungstechnologien sind gleichwertig. Was das höchste Maß an Sicherheit vom Rest des Pakets unterscheidet, ist eine Anforderung an den Hardware-Schutz der Berechtigungsnachweise sowie an die Abschwächung sowohl gängiger als auch anspruchsvoller Exploits.

Stufe 2 lasse ich mal außen vor, weil ich am Ende zum Schluß komme, dank der EU-DSGVO (Personenbezogene Daten) doch wieder bei der Stufe 3 an.

SMS OTP Schwachstellen aufgedeckt

SMS-OTPs, die heute gebräuchlichste Form der Multifaktor-Authentifizierung, sind nun eine eingeschränkte Form der Authentifizierung in der neuen Richtlinie. Warum? SMS-OTPs haben von Natur aus dieselben Schwachstellen wie Passwörter.

Es gibt immer noch Geheimnisse, die mit einem Dienst geteilt werden müssen, und obwohl sie ablaufen, können sie abgefangen und wiederverwendet werden. Schlimmer noch, Hacker konnten Ihren Mobilfunkanbieter anrufen und eine SIM-Hijacking-Aktion durchführen, um alle Ihre SMS-OTP-Codes zu erhalten, jedes Passwort schnell zurückzusetzen und die Kontrolle über mehrere Konten zu übernehmen.

Public Key Crypto erhält die Freigabe

Wenn wir NIST’s Assurance Stufe 1 als die Methoden mit einem Warnhinweis betrachten, sollten wir NIST’s Assurance Stufe 3 als die Methode betrachten, um die heutige Bedrohung anzunehmen und sie so schnell wie möglich in Angriff zu nehmen. Die Authentifizierungsmethoden in der Kategorie Stufe 3 verwendet die Public-Key-Kryptografie, bei der Ihr modernes Gerät private Schlüssel als neue Zugangsdaten erstellt und verwendet und diese eng an Ihr persönliches Gerät bindet, so wie die meisten Smartphones dies jetzt mit Ihren Fingerabdruckdaten tuen.

Da diese Methode Benutzer-Credentials auf das Gerät des Benutzers legt und nur kryptografische „Besitznachweise“ mit Anwendungen teilt, die in der Cloud ausgeführt werden, besteht keine Gefahr mehr, dass wiederverwendbare Credentials von einem anderen Datenverstoß mißbraucht werden. Außerdem besteht keine Gefahr von Phishing, da es technisch unmöglich ist, Ihre Zugangsdaten weiterzugeben.

Um eine Stufe-3-Anmeldung zu kompromittieren, muss der Hacker das persönliche Gerät des Benutzers physisch in Besitz nehmen und angreifen. Diese Art von Angriffen ist für Cyberkriminelle nicht skalierbar oder gewinnbringend, daher verdient diese Methode zu Recht die höchste Sicherheit des NIST.

Wenn Sie der Meinung sind, dass der Aufbau von Support für diese höheren Sicherheitsstufen teuer, schwierig oder für Unternehmensanwendungen reserviert ist, denken Sie noch einmal darüber nach. Neue Industrieprotokolle und Sicherheitsanforderungen, die bereits in Smartphones und vielen anderen Produkten definiert, implementiert und eingebaut sind, ermöglichen es Ihnen, sich mit dem Fingerabdrucksensor oder Sicherheitsschlüssel anzumelden, um die neuen NIST-Anforderungen für ein Höchstmaß an starker Authentifizierung zu erfüllen.

NIST’s Digital Identity Guidance wird von Regierungen und Unternehmen bei der Entwicklung ihrer Identitätsmanagementstrategien als Goldstandard angesehen – und das zu Recht. Es liegt an uns allen, darauf zu achten, was NIST in seiner neuen Anleitung wirklich sagt und an der branchenweiten Migration von Passwörtern und OTPs zu moderner, stärkerer Authentifizierung teilzunehmen.

Am Ende ist die beste neue Passwortregel, die aus dem NIST kommt: Benutzen Sie sie nicht.

Hinweise

Es ist kein Geheimnis. Wir sind wirklich schlecht im Umgang mit Passwörtern. Trotzdem werden sie leider nicht so schnell verschwinden.

Bei so vielen Websites und Online-Anwendungen, bei denen wir in Eile Konten erstellen und Passwörter erfinden müssen, ist es kein Wunder, dass so viele von uns Mühe haben, dem Rat von so genannten Passwortsicherheitsexperten zu folgen.

Gleichzeitig wird die zur Verfügung stehende Rechenleistung für das Passwortknacken immer größer.

OK, ich habe mit den schlechten Nachrichten angefangen, aber diese Wolke hat einen Silberstreif am Horizont.

Es muss nicht so schwer sein, wie wir es machen, und die Amerikanische Regierung ist hier, um auszuhelfen.

Das ist richtig, das United States National Institute for Standards and Technology (NIST) formuliert neue Richtlinien für Passworte, die in der gesamten US-Regierung (dem öffentlichen Sektor) verwendet werden sollen.

Warum ist das wichtig? Weil die Richtlinien vernünftig sind und eine großartige Vorlage für uns alle, die wir innerhalb unserer eigenen Organisationen und Anwendungsentwicklungsprogramme verwenden können.

Jeder, der sich für den Entwurf der Spezifikation„Special Publication 800-63-3: Digital Authentication Guidelines“ interessiert, kann ihn bei der Weiterentwicklung auf Github oder in einer leichter zugänglichen Form auf der Website des NIST einsehen.

Für einen menschlicheren Ansatz hat der Sicherheitsforscher Jim Fenton Anfang des Monats auf der PasswordsCon in Las Vegas einen Vortrag gehalten, der die Änderungen gut zusammenfasst.

Was gibt’s Neues ?

Was sind die Hauptunterschiede zwischen dem, was das NIST derzeit über „sichere Passwörter“ sagt, und dem, was es jetzt empfiehlt?

Einige der Empfehlungen können Sie wahrscheinlich erraten, andere werden Sie überraschen.

Wir beginnen mit den Dingen, die Sie tun sollten.

Unterstützen Sie den Anwender. Machen Sie Ihre Passwortrichtlinien zunächst benutzerfreundlich und belasten Sie den Verifier, wenn möglich.

Mit anderen Worten, wir müssen aufhören, Benutzer zu bitten, Dinge zu tun, die die Sicherheit nicht wirklich verbessern.

Viele unserer so genannten „Best Practices“ wurden auf ihre Wirksamkeit hin untersucht und es hat sich herausgestellt, dass sie nicht ausreichen, um den Schmerz, den sie verursachen, zu rechtfertigen.

Die Größe zählt. Zumindest, wenn es um Passwörter geht. Die neuen Richtlinien des NIST besagen, dass Sie mindestens 8 Zeichen benötigen. (Das ist kein maximales Minimum – Sie können die minimale Passwortlänge für sensiblere Konten erhöhen. (Wir empfehlen Minimum 16 und mehr je nach Rolle (Administrator))

Besser noch, NIST sagt, Sie sollten eine maximale Länge von mindestens 64 erlauben, also nicht mehr die unsinnige Nachricht „Sorry, Ihr Passwort darf nicht länger als 16 Zeichen sein“.

Anwendungen müssen alle druckbaren ASCII-Zeichen einschließlich Leerzeichen zulassen und sollten auch alle UNICODE-Zeichen akzeptieren, einschließlich emoji!

Das ist ein guter Rat, und wenn man bedenkt, dass Passwörter beim Speichern gehasht und gesalzen werden müssen (was sie in eine Darstellung mit fester Länge umwandelt), sollte es keine unnötigen Längenbeschränkungen geben.

Wir raten oft bei der Verwendung von Passphrasen, daher sollten sie alle gängigen Satzzeichen und alle Sprachen verwenden dürfen, um die Benutzerfreundlichkeit zu verbessern und die Vielfalt zu erhöhen.

Überprüfen Sie neue Passwörter gegen ein Wörterbuch bekannter und schlechter Entscheidungen. Du willst nicht, dass die Leute ChangeMe, dieses Passwort, Yankees und so weiter benutzen.

Es muss noch mehr recherchiert werden, wie Sie Ihre „Banned List“ auswählen und verwenden können, aber Jim Fenton ist der Meinung, dass 100.000 Einträge ein guter Ausgangspunkt sind.

Was sollte man vermeiden ?

Nun zu all den Dingen, die du nicht tun solltest.

Keine Kompositionsregeln. Das heißt, keine Regeln mehr, die Sie zwingen, bestimmte Zeichen oder Kombinationen zu verwenden, wie z.B. die erschreckenden Bedingungen auf einigen Passwort-Rücksetzseiten, die besagen: „Ihr Passwort muss einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl, vier Symbole aber nicht &%#@_ und den Nachnamen von mindestens einem Astronauten enthalten.

Lassen Sie die Leute frei wählen und ermutigen Sie längere Phrasen anstelle von schwer zu merkenden Passwörtern oder illusorischer Komplexität wie pA55w+rd.

Keine Passworthinweise. Keine. Wenn ich wollte, dass die Leute eine bessere Chance haben, mein Passwort zu erraten, würde ich es auf einen Zettel auf meinem Bildschirm schreiben.

Leute setzen Passwort-Hinweise wie Reime auf „Assword“, wenn Sie Hinweise zulassen. (Wirklich! Wir haben einige erstaunliche Beispiele aus der Adobe’s 2013 Passwortverletzung.)

Wissensbasierte Authentifizierung (Knowledgebased authentication (KBA)) ist out. KBA ist, wenn ein Standort sagt: „Wählen Sie aus einer Liste von Fragen – Wo haben Sie das Gymnasium besucht? Was ist deine Lieblingsmannschaft? – und sagen Sie uns die Antwort, falls wir jemals überprüfen müssen, ob Sie es sind.“

Kein ablaufendes Passwort mehr ohne Grund. Das ist mein liebster Ratschlag: Wenn wir wollen, dass Benutzer sich an die Regeln halten und lange, schwer zu erratende Passwörter wählen, sollten wir sie nicht dazu bringen, diese Passwörter unnötig zu ändern.

Passwörter sollten nur dann zurückgesetzt werden, wenn sie vergessen wurden, wenn sie gephisht wurden oder wenn Sie glauben (oder wissen), dass Ihre Passwortdatenbank gestohlen wurde und daher einem Offline-Brute-Force-Angriff ausgesetzt sein könnte.
Es gibt noch mehr….

NIST bietet auch einige andere sehr lohnende Ratschläge.

Alle Passwörter müssen gehasht, gesalzen und gedehnt werden.

Wie Sie das Passwort Ihrer Benutzer sicher speichern.

Sie benötigen ein Salz von 32 Bit oder mehr, einen verschlüsselten HMAC-Hash mit SHA-2 oder SHA-3 und den „Stretching“-Algorithmus PBKDF2 mit mindestens 10.000 Iterationen.

Passwort-Hashing-Enthusiasten fragen sich wahrscheinlich: „Was ist mit bcrypt und scrypt?“ In unserem eigenen How to Artikel haben wir beides als Möglichkeiten aufgelistet, aber geschrieben: „Wir werden PBKDF2 hier empfehlen, weil es auf Hashing-Primitiven basiert, die viele nationale und internationale Standards erfüllen“. NIST folgte der gleichen Argumentation.

Außerdem, und das ist eine große Veränderung: Bei der Zwei-Faktor-Authentifizierung (2FA) sollte SMS nicht mehr verwendet werden.

Es gibt viele Probleme mit der Sicherheit des SMS-Versands, darunter Malware, die Textnachrichten umleiten kann, Angriffe auf das Mobilfunknetz (wie der sogenannte SS7-Hack) und die Übertragbarkeit von Mobiltelefonnummern.

Telefonanschlüsse, auch bekannt als SIM-Swaps, sind die Stellen, an denen Ihnen Ihr Mobilfunkanbieter eine neue SIM-Karte ausgibt, um eine verloren gegangene, beschädigte, gestohlene oder falsche Größe für Ihr neues Telefon zu ersetzen.

In vielen Ländern ist es für Kriminelle leider viel zu einfach, einen Handy-Shop davon zu überzeugen, die Telefonnummer einer Person auf eine neue SIM-Karte zu übertragen und damit alle ihre SMS zu entführen.

Was nun?

Das ist nur die Spitze des Eisbergs, aber sicherlich einige der wichtigsten Teile.

Passwortrichtlinien müssen sich weiterentwickeln, wenn wir mehr darüber erfahren, wie Menschen sie nutzen und missbrauchen.

Leider gab es mehr als genug Verstöße, um die Auswirkungen bestimmter Arten von Richtlinien zu erkennen, wie zum Beispiel die oben gezeigten Bespiele aus dem Hack von Adobe 2013 über die Gefahr von Passwort-Hinweisen.

Ziel des NIST ist es, dass wir uns ohne unnötige Komplexität zuverlässig schützen, denn Komplexität wirkt gegen Sicherheit.

Was denken Sie über diese Veränderungen? Werden Sie diese für Ihr Unternehmen umsetzen? Sagen Sie es uns in den Kommentaren.

Links

2018 – Die häufigsten Passwörter
Unternehmensleitung, IT-Administrator und Anwender als Sicherheits-Triumvirat

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.