Sichere Passwörter: Sicherheitsregeln neu aufgelegt
Das National Institute of Standards and Technology (NIST) hat neue Sicherheitsregeln für Passwörter veröffentlicht. Ich kann nur sagen: Endlich! Die alten Empfehlungen waren für die Praxis weltfremd, ja geradezu eine Zumutung. Niemand ist in der Lage sich gut und gerne 30 Passwörter für seine Online-Zugänge zu merken, die aus mindestens 12 Zeichen bestehen, die wiederum aus Klein- und Großbuchstaben inklusive Zahlen und Sonderzeichen zusammengesetzt sind.
heise schreibt zu den neuen Empfehlungen:
Eine der Konsequenzen daraus ist, dass die überarbeitete NIST-Richtlinie nun empfiehlt, Passwort-Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und diese nicht zu erlauben. Das kann man etwa mit Webdiensten wie Troy Hunts Pwned Passwords bewerkstelligen.
Und genau das macht ihr bitte nicht! Euer neues Passwort solltet ihr unter keinen Umständen bei einem Online-Dienst eingeben. Davor warnt sogar Troy Hunt selbst:
Do not send any password you actively use to a third-party service – even this one!
Was ich generell von Pwned Passwords oder ähnlichen Webdiensten halte, habe ich bereits im Beitrag Have I been pwned? dargestellt.
Tipp: Wie ihr sichere Passwörter erstellt, diese verwaltet und mit einer Diceware-Passphrase schützt, zeige ich euch im Beitrag »Sicheres Passwort wählen: Der Zufall entscheidet«.
Sicheres Passwort wählen: Der Zufall entscheidet
Have I been pwned?: Offline Check
Firefox: First Party Isolation – Firefox-Kompendium Teil4
KeePassXC: Auto-Type und Browser-Add-on im Alltag nutzen – Passwörter Teil1
