Mit der Einführung des neuen Identitätsmanagement-Systems im Herbst 2013 wurde auch eine strengere Richtlinie für Passwörter definiert. Das URZ-Passwort musste seitdem mindestens acht Zeichen lang sein und aus Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Möglicherweise ist diese strenge Festlegung für viele Nutzer ein Grund, ihr bestehendes Passwort nicht zu ändern, was insbesondere nach der Heartbleed-Lücke kritisch ist.
Im Rahmen der URZ-Sicherheitsinitiative 2014 wurde daher eine verbesserte Passwortrichtlinie erarbeitet. Die vier Kriterien (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) bleiben zwar weiterhin bestehen, in Abhängigkeit von der Länge des Passworts müssen jedoch nicht mehr alle Kriterien erfüllt sein. Die Prüfung erfolgt nun nach folgendem Schema:
- 8-11 Zeichen Passwortlänge: alle Kriterien müssen erfüllt sein
- 12-15 Zeichen Passwortlänge: drei Kriterien müssen erfüllt sein
- 16-19 Zeichen Passwortlänge: zwei Kriterien müssen erfüllt sein
- ab 20 Zeichen Passwortlänge: keine Restriktionen bezüglich der Kriterien
Zusätzlich zu diesen formalen Kriterien wird weiterhin die Komplexität des Passworts geprüft. So wird sichergestellt, dass hinreichend viele verschiedene Zeichen verwendet und Wörter aus Wörterbüchern vermieden werden. Wir glauben, dass durch die neue Richtlinie die Hürden zur Änderung des Passworts etwas gesenkt und gleichzeitig die Sicherheit weiter erhöht werden kann, da kryptische Passwörter nicht unbedingt sicher sein müssen.
11111111111111111111 ist das dann sicher ?
Nein, selbstverständlich wird das Passwort nach wie vor einer Komplexitätsprüfung unterzogen. Diese würde Ihr Beispiel dann ablehnen, da zu wenig verschiedene Zeichen verwendet werden.
Bei der neuen Richtlinie geht es viel mehr um die formalen Anforderungen an ein Passwort (Erzwingen bestimmter Zeichenklassen), die für viele Nutzer bisher offenbar zu streng waren. Ich werde den Blog-Artikel dahingehend anpassen, um Missverständnisse zu vermeiden.