Strategien zur Komplexität von Passwörtern - gibt es dafür Beweise?

Question

Bei mehr als einer Gelegenheit wurde ich gebeten, Regeln für die Auswahl von Passwörtern für die von mir entwickelte Software einzuführen. Typische Vorschläge beinhalten Dinge wie:

• Die Passwörter müssen mindestens N Zeichen lang;
• Passwörter müssen Kleinbuchstaben, Großbuchstaben und Zahlen enthalten;
• Keine Wiederverwendung des letzten M Passwörter (oder Passwörter, die innerhalb von P Tage).

Und so weiter.

Etwas hat mich schon immer daran gestört, dass man jede Durch die Einschränkung der verfügbaren Passwörter wird der Raum der zulässigen Passwörter verkleinert. Macht dies nicht die Passwörter einfacher zu erraten?

Wenn die Benutzer komplexe, häufig wechselnde Passwörter erstellen müssen, steigt die Versuchung, sie aufzuschreiben, was die Sicherheit ebenfalls verringert.

Gibt es einen quantitativen Beweis dafür, dass Regeln zur Einschränkung von Passwörtern die Sicherheit von Systemen erhöhen?

Wenn ja, was sind die "sichersten" Strategien zur Einschränkung von Passwörtern, die verwendet werden sollten?

---

bearbeiten Ólafur Waage hat freundlicherweise auf eine Coding Horror Artikel über Wörterbuchangriffe die eine Menge nützlicher Analysen enthält, aber mir scheint, dass Wörterbuchangriffe massiv reduziert werden können (wie Jeff vorschlägt), indem einfach eine Verzögerung nach einem fehlgeschlagenen Authentifizierungsversuch hinzugefügt wird.

Welche Beweise gibt es vor diesem Hintergrund dafür, dass erzwungene komplexe Passwörter sicherer sind?

Answer 1

Etwas hat mich schon immer gestört an Passwörtern irgendwelche Beschränkungen aufzuerlegen zu beschränken - durch die Einschränkung der verfügbaren Passwörter einschränkt, reduziert man die Größe des Raums aller zulässigen Passwörter. Werden Passwörter dadurch nicht leichter zu erraten?

Theoretisch, ja. In der Praxis stellen die "schwachen" Passwörter, die Sie nicht zulassen, eine winzige Teilmenge aller möglichen Passwörter dar, die unverhältnismäßig oft gewählt wird, wenn es keine Beschränkungen gibt, und von der Angreifer wissen, dass sie sie zuerst angreifen.

Ebenso können die Nutzer durch die Erstellung von komplexe, häufig wechselnde Passwörter zu erstellen, steigt die Versuchung, sie sie aufzuschreiben, was ebenfalls die Sicherheit.

Richtig. Die Benutzer zu zwingen, ihre Passwörter jeden Monat zu ändern, ist eine sehr, sehr schlechte Idee, außer vielleicht in extremen Hochsicherheitsumgebungen, in denen wirklich jeder die Notwendigkeit der Sicherheit versteht.

Answer 2

Diese Art von Regeln sind auf jeden Fall hilfreich, da sie dumme Benutzer davon abhalten, Passwörter wie "mypassword" zu verwenden, was leider recht häufig vorkommt.

Sie zwingen die Benutzer also zu einer extrem großen Anzahl möglicher Passwörter. Es spielt keine Rolle, dass Sie die Menge aller Passwörter mit Kleinbuchstaben ausschließen, denn die verbleibende Menge ist immer noch um Größenordnungen größer.

ABER was mich am meisten stört, sind die Passwortbeschränkungen, auf die ich auf großen Websites gestoßen bin, wie

• Keine Sonderzeichen
• Maximale Länge

Warum sollte jemand so etwas tun? W.H.Y.????

Answer 3

Eine gute Lektüre zu diesem Thema ist Jeffs Artikel auf Wörterbuch-Angriffe.

Answer 4

1. Niemals den Nutzer daran hindern, das zu tun, was er wirklich will, es sei denn, es gibt eine technische Einschränkung, die dies verhindert.
2. Sie können dem Benutzer die Hölle heiß machen, wenn er dumme Dinge tut, wie z. B. ein Wörterbuchwort oder ein 3-stelliges Passwort zu benutzen oder nur Zahlen zu verwenden, aber siehe Nr. 1 oben.
3. Es gibt keinen triftigen technischen Grund, nur alphanumerische Zeichen oder mindestens einen Großbuchstaben oder mindestens eine Zahl zu verlangen; siehe Nr. 1 oben.

Ich habe vergessen, auf welcher Website dieser Ratschlag zu Passwörtern stand: "Wählen Sie ein Passwort, das Sie sich leicht merken können, das aber für andere schwer zu erraten ist." Aber dann hieß es, dass mindestens ein Großbuchstabe und eine Zahl erforderlich seien.

Das Problem mit Passwörtern ist, dass sie so allgegenwärtig sind, dass es für eine Person ohne fotografisches Gedächtnis im Grunde unmöglich ist, sie sich zu merken, ohne sie aufzuschreiben, was eine ernsthafte Sicherheitslücke hinterlässt, falls jemand Zugang zu dieser Liste mit aufgeschriebenen Passwörtern erhält.

Die einzige Möglichkeit, dies für mich zu bewältigen, besteht darin, die meisten meiner Passwörter aufzuteilen - und ich habe gerade meine Liste überprüft, ich bin bis jetzt bei 130! -- in zwei Teile aufzuteilen, eines, das immer gleich ist, und ein anderes, das eindeutig, aber einfach ist. (Ich breche diese Regel für Websites, die eine hohe Sicherheit erfordern, wie Bankkonten).

Die Forderung nach "Komplexität", d. h. nach mehreren Arten von Zeichen, die alle vorhanden sein müssen, zwingt die Menschen dazu, für verschiedene Websites unterschiedliche Konventionen zu verwenden, was es schwieriger macht, sich das betreffende Passwort zu merken.

Der einzige Grund, den ich für Websites anerkenne, die die Anzahl der zulässigen Kennwortzeichen begrenzen, ist, dass das Kennwort auf einer Tastatur eingegeben werden können muss. Wenn man davon ausgeht, dass auf das Konto von mehreren Ländern aus zugegriffen werden muss, dann unterstützen die Tastaturen nicht immer die gleichen Zeichen auf der Tastatur des Benutzers.

Eines Tages werde ich einen Blogbeitrag zu diesem Thema verfassen müssen :(

Answer 5

Mein altes Limit-Theorem:

Je sicherer das Kennwort ist, desto wahrscheinlicher ist es, dass es sich auf einem Klebezettel befindet, der am Computer oder Monitor angebracht ist.