Skip to content

Was sagt die moderne NIST-800-63B-Leitlinie zu Passwörtern?

Kurzantwort

Das moderne NIST SP 800-63B stellt Länge über Komplexität: lange Passphrasen erlauben (mindestens 8, 64+ unterstützen), alle Zeichen einschließlich Leerzeichen akzeptieren und keine Zusammensetzungsregeln wie «ein Großbuchstabe, ein Symbol» vorschreiben. Neue Passwörter gegen Listen geleakter Passwörter prüfen, den verpflichtenden periodischen Ablauf streichen (nur bei Hinweis auf Kompromittierung wechseln) und wissensbasierte «Sicherheitsfragen» verwerfen. Ziel sind Regeln, die echten Angriffen standhalten, statt Benutzer in vorhersehbare Muster zu drängen.

Der alte Rat — „8 Zeichen, ein Großbuchstabe, eine Zahl, ein Symbol, alle 90 Tage ändern" — machte Passwörter erwiesenermaßen schlechter. Das NIST SP 800-63B schrieb die Leitlinie um den herum, was Angriffen tatsächlich standhält.

Länge schlägt Komplexität

Die zentrale Änderung: Länge priorisieren, nicht Zusammensetzung. Verlangen Sie ein vernünftiges Minimum (mindestens 8), aber unterstützen Sie lange Passphrasen (64+ Zeichen) und akzeptieren Sie alle druckbaren Zeichen, einschließlich Leerzeichen und Emoji. Eine lange, einprägsame Passphrase hat weit mehr Entropie und ist leichter zu merken als P@ss1! — wohin Zusammensetzungsregeln alle bloß drängen.

Entscheidend sagt das NIST, keine Zusammensetzungsregeln vorzuschreiben („muss enthalten..."). Sie drängen Benutzer vorhersehbar in dieselben schwachen Muster (Password1!), die die Cracking-Regeln der Angreifer ohnehin erwarten.

Gegen geleakte Passwörter prüfen

Wenn ein Benutzer ein Passwort setzt oder ändert, prüfen Sie es gegen eine Liste bekannter kompromittierter Passwörter (z. B. aus öffentlichen Leak-Korpora) und lehnen Sie Treffer ab. Das stumpft direkt Credential Stuffing ab, bei dem Angreifer geleakte Passwörter wiedereinspielen. Das ist wertvoller als jede Zusammensetzungsregel.

Erzwungenen periodischen Ablauf einstellen

Das NIST entfernte die verpflichtende periodische Rotation. Erzwungene 90-Tage-Wechsel erzeugen nur Frühling2026!Sommer2026!. Stattdessen nur bei Hinweis auf Kompromittierung wechseln. Routinemäßiger Ablauf erzeugt Reibung ohne Sicherheit.

Weitere moderne Dos und Don'ts

  • Einfügen erlauben und Passwortmanager — sie ermöglichen starke, eindeutige Passwörter.
  • Wissensbasierte «Sicherheitsfragen» verwerfen („erstes Haustier") — die Antworten sind erratbar oder per OSINT auffindbar.
  • Eine «Passwort anzeigen»-Umschaltung anbieten und nicht stillschweigend abschneiden.
  • Am wichtigsten: MFA überlagern — idealerweise phishing-resistent — denn keine Passwortrichtlinie allein genügt.

Worauf Interviewer achten: Sie nennen Länge vor Komplexität, das Prüfen gegen geleakte Passwörter und keinen erzwungenen Ablauf, und Sie können erklären, warum die alten Regeln nach hinten losgingen — sie optimierten den Anschein von Sicherheit statt der Widerstandsfähigkeit gegen Cracking und Stuffing.

Wahrscheinliche Anschlussfragen

  • Warum schwächt erzwungene Komplexität Passwörter in der Praxis oft?
  • Warum hat das NIST den verpflichtenden periodischen Passwortablauf gestrichen?
  • Welchen Wert hat der Abgleich gegen eine Liste geleakter Passwörter?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.