Passwörter im Fadenkreuz

Ein weiteres Element der neuen Strategie: Passwörter sollen nach Möglichkeit nicht mehr eingesetzt werden. Wenn sie benötigt werden, soll auf Regeln zur Komplexität eines Passworts, wie die verpflichtende Verwendung von Klein- und Großbuchstaben, Sonderzeichen und Ziffern, verzichtet werden.

Stellenmarkt
  1. Software Quality Assurance Engineer (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. IT-Systemadministrator (m/w/d)
    get IT green GmbH, Freiburg im Breisgau
Detailsuche

Viele Passwortregeln, die verhindern sollen, dass Nutzer besonders einfache Passwörter verwenden, sind inzwischen so komplex, dass sie eher den gegenteiligen Effekt haben. Sie schränken die Zahl der theoretisch möglichen Passwörter zu stark ein und führen außerdem dazu, dass Menschen eher einfache Passwörter verwenden - schließlich muss man sie sich ja auch merken können.

In dem Papier wird nicht auf Passwort-Manager (Test) eingegangen. Es gehört aber inzwischen zum Allgemeinwissen, dass auch das komplexeste darin gespeicherte Passwort für einen Dienst nichts wert ist, wenn das Passwort für den Manager selbst "geheim" lautet.

Der Vorteil von Passwort-Managern ist, dass man nicht überall das gleiche Passwort hat und sie eine Verschlüsselung der darin abgelegten Geheimnisse bieten. Aber wie stark dieses Passwort ist und wie sicher die Datei abgelegt ist, bleibt den Nutzern überlassen.

Golem Karrierewelt
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
Weitere IT-Trainings

Es soll auch darauf verzichtet werden, in regelmäßigen Abständen Passwortänderungen einzufordern. Das führt nämlich meist nur zu einer Durchnummerierung eines Grundpassworts, wie ebenfalls schon länger bekannt sein dürfte.

In Sachen Identitätsmanagement müssen Behörden künftig ein zentralisiertes System für die gesamte Behörde nutzen, das "phishing-resistente" MFA auf Application-Ebene bereitstellt, und zwar sowohl für angestellte und vertragsgebundene Auftragnehmer als auch für sonstige Partner. Ganz wichtig: Mindestens ein Autorisierungsfaktor muss auf dem Level der Geräte-Ebene neben der Identität des Nutzers erfolgen.

MFA mit PIV, Webauthn und Fido

Als phishing-resistente MFA-Faktoren nennt das Papier die Personal Identity Verification (PIV) und den Web-Authentication-Standard mit Webauthn und Fido2 des W3C. Systeme, die nicht phishing-resistent sind, werden genannt und verboten: "Behördensysteme müssen die Unterstützung für Authentifizierungsmethoden einstellen, die Phishing nicht widerstehen, einschließlich Protokolle, die Telefonnummern für SMS oder Sprachanrufe registrieren, um Einmalcodes oder Push-Benachrichtigungen zu erhalten."

Statt klonbarer SIM-Karten sollen richtige Security-Tokens oder -Karten zum Einsatz kommen. Das ist einfacher, als viele denken. Inzwischen dürften sich zum Beispiel hierzulande in den Kartenfächern mindestens drei solcher Karten mit Crypto-Funktionen finden. Personalausweis, Gesundheitskarte und Bankkarte sind allesamt mit diesen Funktionen ausgestattet, um Fälschungen zu erschweren oder unmöglich zu machen. Das zeigt, dass eine Ausgabe im großen Stil durchaus machbar ist. Ein Fido-Stick als Zubehör zum Arbeits-Notebook fällt finanziell kaum ins Gewicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wenn Applikationen untereinander kommunizieren, heißt es in dem Security-Programm der US-Regierung ebenfalls "Ja zum Verschlüsseln", auch innerhalb des internen Netzes und auch für DNS-Anfragen. Die Zahl der Kritiker von Secure-DNS dürfte also weiter abnehmen.

Wem das alles so gar nicht gefällt

Schlecht ist die neue Strategie bei der US-Regierung insbesondere für Anbieter von Security as a Service (SaaS). Bei den meisten SaaS-Angeboten geht es vorrangig um die Perimeterverteidigung von Netzwerken. Einzelne Applikationen abzusichern, ist vielleicht noch bei Standard-Software mit großem Verbreitungsgrad im Programm; bei Individualsoftware, mit der die Dienstleister ansonsten nichts zu tun haben, würde sich das auch schwierig gestalten.

Selbst wenn diese Dienstleister sich zumindest in den meisten Fällen nicht trauen, die Maßnahmen als falschen Weg darzustellen, lassen sie ihre Kritik in ihren Bewertungen durchscheinen. "Dies kann wahrscheinlich im Kontext der Regierung funktionieren, aber ich bin skeptisch, ob es darüber hinaus viel bewirken wird", schrieb etwa Sharon Goldberg, CEO von Bastionzero.

Interessant wird auch sein, wie das in Deutschland zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) auf diese Richtlinie reagiert. Und natürlich, wie lange es bis zu einer solchen Reaktion dauert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Security bei der US-Regierung: VPN, SMS-Codes und Passwörter sind out, Zero Trust ist in
  1.  
  2. 1
  3. 2


interlingueX 12. Feb 2022

Ist Vertrauensfreie EDV-Absicherungsprinzipien nicht etwas griffiger...

Schroeffu 10. Feb 2022

Ein bisschen Unsinn auf VPN zu verzichten und alle Dienste ins Internet setzten aber...

nohoschi 09. Feb 2022

Verstehe, dass Sie Automatisierung und Hardwareabsicherung (Sticks) bevorzugen. Was mir...

FlashBFE 09. Feb 2022

Was du beschreibst (ohne die Passwörter) ist Risk based authentication. Ist ja auch ein...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  3. Recht auf Vergessenwerden: Verurteilter Raubmörder gewinnt Klage gegen Google
    Recht auf Vergessenwerden
    Verurteilter Raubmörder gewinnt Klage gegen Google

    Das Recht auf Vergessenwerden gilt auch für Raubmörder. Google muss einen Link auf einen Online-Artikel entfernen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /