NCSC hält an “Drei-Zufalls-Wörter-Strategie” für Passwörter fest

  • Laut dem National Cyber Security Council (NCSC) ist die Kombination von drei zufälligen Wörtern effektiver als die Verwendung komplexer Kombinationen für Passwörter.

    In einem Blogbeitrag des NCSC vom 9. August wird erklärt, wie dieser Gedankengang oder “Think Random” dazu beiträgt, “die bösen Jungs draußen zu halten”. Der Beitrag knüpft an einen früheren Beitrag von vor fast fünf Jahren an, “Drei zufällige Wörter oder #thinkrandom”.

    Dem Beitrag zufolge ist die Durchsetzung “komplexer Anforderungen” für Passwörter eine schlechte Verteidigung gegen Erraten von Angriffen. Das liegt daran, dass “sich der Verstand nur schwer an zufällige Zeichenketten erinnern kann” und wir Menschen “vorhersehbare Muster” verwenden, um die erforderlichen Kriterien zu erfüllen.

    Cyber-Hacker wissen das nur zu gut und nutzen es, um ihre Angriffe noch effektiver zu gestalten. Nach Angaben von Verizon sind kompromittierte Passwörter für 81 Prozent der Datenschutzverletzungen im Zusammenhang mit Hackerangriffen verantwortlich.

    “Im Gegensatz zur Intuition führt die Durchsetzung dieser Komplexitätsanforderungen dazu, dass die Passwörter berechenbarer werden”, heißt es in dem NCSC-Post. “Konfrontiert mit der Erstellung eines weiteren Passworts mit spezifischen Anforderungen, greifen die Benutzer auf Variationen von etwas zurück, das sie bereits kennen und verwenden, und glauben fälschlicherweise, dass es stark ist, weil es die Passwortstärke-Messgeräte erfüllt (und von Online-Diensten akzeptiert wird).”

    Das NCSC weist auch darauf hin, dass die “anhaltend geringe Akzeptanz von Passwortmanagern zum Speichern und Generieren von Passwörtern” zu dieser Vorhersehbarkeit führt. Es hat Organisationen und Menschen dazu ermutigt, sie eine Zeit lang zu verwenden.

    “Passwörter, die aus drei zufälligen Wörtern generiert werden, helfen den Benutzern, einzigartige Passwörter zu erstellen, die für viele Zwecke stark genug sind und sich viel leichter merken lassen”, erklärt der NCSC-Blogpost. “Dies ist auch für diejenigen von Vorteil, die Passwort-Manager nicht kennen oder sich scheuen, sie zu verwenden.

    Die NCSC sagt, dass die Theorie der drei zufälligen Wörter aufgrund der Länge, der Wirkung, der Neuartigkeit und der Benutzerfreundlichkeit effektiv ist.

    Der NCSC ist sich darüber im Klaren, dass diese Taktik für manche Menschen aufgrund früherer Verhaltensmuster ein Problem darstellen könnte. Sie rät jedoch, die “Think Random”-Technik zu übernehmen und auf die Optimierung von Suchalgorithmen, schwächere Passwörter und schlechte Passwort-Erinnerung zu reagieren.

    “Wir sind uns bewusst, dass einige Systembesitzer Bedenken haben könnten, die Drei-Zufalls-Wörter-Technik vor anderen zu verwenden”, sagt die NCSC. “Sie ist möglicherweise nicht in allen Organisationen notwendig.

    “Wenn Sie jedoch aus einem der folgenden Gründe keine ‘drei zufälligen Wörter’ verwenden, sollten Sie die Einführung in Betracht ziehen.”

    Laut Nordpass’ “Top 200 most common passwords of the year 2020” sind die Top-Passwörter “123456”, “123456789” und “picture1”.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com