Das National Institute of Standards and Technology (NIST) empfiehlt nicht mehr, Passwörter aus einer Mischung von Zeichentypen zu erstellen oder Passwörter regelmäßig zu ändern. In der zweiten öffentlichen Entwurfsversion seiner Passwortrichtlinien (SP 800-63-4) beschreibt NIST technische Anforderungen sowie empfohlene Best Practices für das Passwortmanagement und die Authentifizierung.
Die neuesten Richtlinien fordern Credential Service Provider (CSP) auf, die Vorgabe zu beenden, dass Benutzer Passwörter mit bestimmten Zeichentypen setzen müssen. Auch die regelmäßige Änderung von Passwörtern, die häufig alle 60 oder 90 Tage verlangt wird, soll nicht mehr erforderlich sein.
Darüber hinaus wird CSPs geraten, auf wissensbasierte Authentifizierung oder Sicherheitsfragen bei der Auswahl von Passwörtern zu verzichten. Das ist natürlich nett, muss aber sicherlich auch in viele Köpfe rein. Die Passwortrotation ist vor vielen Jahren mal eine Empfehlung, allerdings gab es danach schon Untersuchungen, dass das Ganze nur wenig bringt. NIST gibt an, dass »Passwörter so komplex und geheim sein müssen, dass es für einen Angreifer unmöglich ist, den richtigen geheimen Wert zu erraten oder auf andere Weise herauszufinden«.
Weitere Empfehlungen sind:
Prüfer und CSPs MÜSSEN eine Mindestlänge von Passwörtern mit acht Zeichen verlangen und SOLLTEN eine Mindestlänge von 15 Zeichen verlangen.
CSPs sollten Passwörter mit maximal mindestens 64 Zeichen zulassen.
CSPs sollten die Verwendung von ASCII- und Unicode-Zeichen in Passwörtern zulassen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.