Modern password security for system designers

Dieser Leitfaden gibt Hinweise und Empfehlungen zu Passwörtern für Designer und Entwickler, die sichere Onlineanwendungen erstellen. Der thematisch zugehörige Leitfaden Modern password security for users (Moderne Passswortsicherheit für Nutzer) bietet Endnutzern eine Anleitung. In diesem Leitfaden werden die zahlreichen Optionen behandelt, die bei der Erstellung eines passwortbasierten Authentifizierungssystems zu berücksichtigen sind. Außerdem werden nutzerbezogene Empfehlungen für Passwortrichtlinien und -speicher gegeben, einschließlich des ausgewogenen Verhältnisses zwischen Passwortstärke und Nutzerfreundlichkeit.

In der Welt der Technologie wird seit den Anfängen des Computing versucht, die Nutzung von Passwörtern zu optimieren. Die Authentifizierung mit einem gemeinsam genutzten Wissen ist problematisch, da Informationen in die falschen Hände geraten oder vergessen werden können. Das Problem wird durch Systeme verstärkt, die keine sicheren Anwendungsfälle in der realen Praxis unterstützen, und durch die bekannte Vorliebe der Nutzer für Kürzel.

Laut einer Studie von Yubico/Ponemon aus dem Jahr 2019 geben 69 % der Befragten zu, dass sie Passwörter mit ihren Kollegen teilen, um auf Konten zuzugreifen. Mehr als die Hälfte der Befragten (51 %) verwenden im Durchschnitt fünf Passwörter für ihre geschäftlichen und privaten Konten. Darüber hinaus wird die Bestätigung in zwei Schritten (2FA) nicht häufig verwendet, obwohl sie neben einem Nutzernamen und einem Passwort zusätzlichen Schutz bietet. Von den Befragten nutzen 67 % keine 2FA im Privatleben und 55 % nutzen sie nicht bei der Arbeit.

Passwortsysteme, die für moderne Anwendungen entwickelt wurden, können Nutzern auch die Verwendung unsicherer Passwörter ermöglichen oder sogar dazu ermutigen. Systeme, die nur Anmeldedaten in einem Schritt zulassen und ineffektive Sicherheitsrichtlinien implementieren, verstärken das Problem. Mit willkürlichen und inkonsistenten Regeln können Nutzer ihre Passwörter unsicher handhaben. Passwortwiederherstellungssysteme können den Nutzer und die Anwendung anfällig für Bedrohungskategorien machen, die sie möglicherweise nicht berücksichtigt haben.

Übersicht

In diesem Dokument wird Folgendes erläutert:

  • Vertrauenswürdige Quellen für durchdachte und recherchierte Informationen zur Passwortsicherheit
  • Empfehlungen für Entwickler, die Passwortverwaltungssysteme entwerfen
  • Häufige Anti-Muster und Mythen rund um die Passwortsicherheit
  • Themen für weitere Recherchen

Klicken Sie auf die Schaltfläche, um das vollständige Dokument zu lesen:

PDF-Datei herunterladen