Passwortrichtlinie: Länge vs. Komplexität

Passwortpolitik: Länge vs Komplexität – Was NIST tatsächlich empfiehlt

NIST SP 800-63B (aktualisiert 2024) hat Jahrzehnte alter Passwort-Ratgeber umgekehrt: stoppen Sie die Komplexitätsregeln, beginnen Sie mit der Länge. Hier ist der Grund, mit der Mathematik, um es zu beweisen.

Die Entropiemathematik

Die Entropie misst, wie schwer ein Passwort zu brute-force ist. Die Formel lautet log2(charset_size ^ length).

Ein 16-stelliges kleinschreibungs-Passwort ist 8 Millionen Mal schwerer zu knacken als ein 8-stelliges "komplexes" Passwort. Länge gewinnt.

Was NIST SP 800-63B sagt

Warum Komplexitätsregeln scheitern

Wenn Sie P@ssw0rd!-Muster erzwingen, tun Benutzer genau das – vorhersehbare Substitutionen, die von Crack-Tools ausgenutzt werden. Lexikalische Angriffe mit Leetspeak-Regeln knacken Tr0ub4dor&3 in Sekunden. In der Zwischenzeit ist correct horse battery staple (4 zufällige Wörter, ~44 Bits aus einer 2048-Wörter-Liste, oder wählen Sie 5-6 Wörter für 55-66 Bits) sowohl stärker als auch merkwürdiger.

Praktische Umsetzung

# Pseudocode für NIST-gerechte Validierung
def validate_password(password: str, blocklist: set) -> bool:
    if len(password) < 12:
        return False  # erzwingen Sie die Mindestlänge
    if password.lower() in blocklist:
        return False  # akzeptieren Sie bekannte gehackte Passwörter
    return True  # keine Komplexitätsregeln erforderlich

Verwenden Sie einen Passwort-Manager, um 16-20 Zeichen lange zufällige Passwörter für jeden Account zu generieren. Versuchen Sie das Passwort-Generator-Tool, um hohe-Entropie-Passwörter sofort zu erstellen – setzen Sie die Länge auf 16+ und umgehen Sie die Komplexitäts-Schmerzen.

Schlüssel-Erkenntnis

Aktualisieren Sie die Passwort-Politik Ihres Unternehmens: Mindestens 12 Zeichen, Blocklist-Überprüfung, keine gezwungene Rotation, keine Komplexitätsregeln. Sie erhalten eine bessere Sicherheit und weniger Hilfe-Desk-Tickets.

Verwandte