BSI

Regel Nummer 1: Sichere Passwörter verwenden! 😇

Ja ja, ist wisst schon. Aber auch auf die Gefahr hin, dass ihr es nicht mehr hören könnt, sichere Passwörter sind ein Muss für jeden von uns! 🤐
Aber was bedeutet das eigentlich ganz genau? Wir haben die wichtigsten Dos und Don'ts für euch übersichtlich zusammengestellt.

Alle ausführlichen Tipps zu sicheren Passwörtern und Passwortmanagern findet ihr natürlich auf bsi.bund.de.

#CyberSecurity #ITSicherheit #Passwörter

Jan 2, 2025 at 10:52amWeb
Show threadSpoontaneous ConsumptionJan 2, 2025

@bsi
Etwas ähnlliches für Admins und Devs wäre mal schön. z.B. In Anlehrung an die NIST-Guidelines, die leider sehr unspezifisch formuliert sind.

z.B.:
- Gängelt User*innen nicht mit regelmäßigen Passwortänderungen, das führt zur Nutzung leichter zu erratender Passwörter
- Begrenzt Passwörter nicht so sehr in der Länge, dass keine sinnvollen Passphrases genutzt werden können
- Erzwingt keine Großbuchstaben / Ziffern / Sonderzeichen wenn das Passwort eine bestimmte Länge überschreitet
- Bietet einen Passphrasegenerator an und empfehlt evtl. Passwortmanager
- Führt um ***** Willen 2FA ein und setzt dabei auf offene Standards die keine bestimmte App voraussetzen und keine SMS nutzen.

Danke :) Ein von Passwortregel gequälter, Sicherheitsbewusster Mensch, der anderen kaum noch gute Tipps gibt weil kein Passwortformular wie das andere ist.

Hier noch das Nonplusultra: https://neal.fun/password-game/

The Password Game

Please choose a password

Show threadsilbaerJan 2, 2025
@manu @bsi Falls die Länge des Passwortes beschränkt ist, ist die Implementierung Schrott. Nirgendwo sollte bzw. darf ein Passwort in Klartext gespeichert oder verarbeitet werden, sondern immer nur ein Hash. Daher sollte die Länge egal sein.
Show threadgbischmiJan 2, 2025

@silbaer @manu @bsi

"geh #hash t" und gesalzen ;-)

Muss noch an eine leidige Erinnerung 2023 denken. Komme ja "gebürtig" aus dem Elektronic Banking seit den frühen 90er Jahren - und wollte ein Tagesgeld Konto mit attraktiver Verzinsung bei einer für mich "neuen" Bank eröffnen.

Alles chic - bis ich zur Passwortvergabe kam. Die Längen und Zeichenvorgabe brachte alles durcheinander was ich bisher in Betracht gezogen hatte.

Tzja, die warten heute noch auf mein Geld.

Show threadwaldiJan 2, 2025

@silbaer Partiell richtig. Es wird aber ein Hash daraus gebildet und die dafür nötige Zeit ist abhängig von der änge der Eingabe. Aber das Limit kann halt gut hoch sein, 1KiB so mal.

@manu @bsi

Show threadsilbaerJan 2, 2025
@waldi Ja, das meine ich. Aber man trifft ja häufig, 12 oder 16 oder 20 Zeichen als Limit.
@manu @bsi
Show threadSpoontaneous ConsumptionJan 2, 2025

@silbaer @waldi @bsi
Bei der #BundID sind es zum Beispiel 50 Zeichen, wenn man dir Authentifizierungsmethode User/Pass nutzt. Bei einer Standard Diceware [1] Passphrase mit 6 Worten lanns noch hinhauen. Für ein so sensibles Konto würde ich aber eigentlich 7-8 Worte nehmen.

[1] https://de.m.wikipedia.org/wiki/Diceware

Diceware – Wikipedia

Show threadsilbaerJan 2, 2025

@manu Diceware kann man machen, wenn man sich das Passwort merken muss und manuell eingeben muss. Persönlich nutze ich ein Passwortmanager mit random Passwörtern und für die zwei Passwörter die ich mir merken muss dann Sätze.

@waldi @bsi

Show threadSpoontaneous ConsumptionJan 2, 2025
@silbaer @waldi @bsi
Ich finds ganz praktisch Passphrases zu generieren die ich bei Gelegenheit auch mal easy abtippen kann. Ich zieh sie in der Regel auch direkt aus rinem Container, aber gelegentlich muss ich mich z.B. mit dem Handy wo einloggen und dann sind die Sonderzeichen auch besonders grausig einzugeben. Und meinen Passwortcontainer dem Handy anvertrauen will ich nicht.
Show threadgero_aka_redJan 2, 2025
@bsi Ihr solltet den X Account wirklich löschen. Am besten mit passender Verabschiedung ^^
Macht doch alternativ bei Bluesky noch einen auf.
Show threadSebastian GrässerJan 9, 2025

@bsi och Leute. Passphrasen, bitte.

https://xkcd.com/936/

Passwörter sind was für Manager (die Software, nicht die Krawattenträger). Den dann mit ner guten, zufallsgenerierten Passphrase sichern und gut ist: #Security und #Usability.

Password Strength

xkcd
Show threadKonstantin WeddigeJan 9, 2025

@seb @bsi können wir Passphrasen bitte auch gleich begraben? Das war eine gute Zwischenlösung, aber mittlerweile sollten User Passwörter, egal wie sie erstellt wurden, so wenig wie möglich selbst nutzen.

Passwörter sind entweder unsicher oder unpraktikabel komplex. Daher:

1. Passwortmanager
2. 20 Zeichen zufällig
3. Passwort nie wieder anschauen

Falls möglich 2FA oder Passkeys nutzen.