HOME

Sicherheit: Der Mann, der uns schwierige Passwörter einbrockte, bereut seine Entscheidung

Jeder hat sich schon über komplexe Passwörter voller Sonderzeichen geärgert. Verantwortlich dafür ist Bill Burr, ein Mitarbeiter einer US-Behörde. Heute bereut er, die Regel aufgestellt zu haben und gibt zu: "Ich war auf dem Holzweg."

Operieren Hacker der CIA von Frankfurt aus?

Bill Burr entwickelte eine wichtige Passwort-Richtlinie - und war auf dem Holzweg

Es ist vermutlich schon jedem Internetnutzer passiert: Man hat ein Passwort erstellt, mindestens acht Zeichen lang, bestehend aus Buchstaben, Zahlen und Sonderzeichen - und ein paar Wochen später kann man sich nicht mehr daran erinnern, weil es viel zu komplex war. Ein Druck auf den "Passwort vergessen"-Button, und die gleiche Prozedur beginnt von vorne. Ein Ärgernis, für das ein Mann mitverantwortlich ist: Bill Burr.

Zwei fundamentale Fehleinschätzungen

Der heute 72-Jährige arbeitete in den 2000ern als Manager beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Im Jahr 2003 verfasste er das achtseitige Dokument mit dem etwas sperrigen Titel "NIST Special Publication 800-63. Appendix A", das unsere Sicherheitsvorkehrungen im Internet bis heute maßgeblich prägt. Die Richtlinien wurden zur Vorgabe für öffentliche Einrichtungen, Unternehmen, aber auch Privatpersonen.

"Viel von dem, was ich getan habe, bereue ich", sagt der mittlerweile im Ruhestand befindliche Burr nun dem "Wall Street Journal". Vor allem zwei seiner Handlungsanweisungen seien aus heutiger Sicht überholt: Das sollte alle 90 Tage geändert werden und aus möglichst vielen Sonderzeichen bestehen.

Untersuchungen zeigen etwa, dass das häufige Passwort-Ändern Unternehmen mehr schadet als eventuelle Angriffe von Cyberkriminellen kosten würden. Der Mythos, dass viele Sonderzeichen die Sicherheit per se erhöhen, ist sowieso schon längst widerlegt: Nutzer würden häufig einfach ihre bestehenden Kennwörter geringfügig modifizieren - aus "Passwort" wird dann "P4ssw0rt". Für Hacker mit ihren Brute-Force-Methoden - dabei probieren Programme in kurzer Zeit alle möglichen Passwörter durch - macht das aber nahezu keinen Unterschied.

"Ich war auf dem Holzweg"

Burr sagt im Interview mit dem " ", dass er zum einen unter großem Zeitdruck stand, zum anderen hatte er kaum empirische Daten. Selbst die Systemadministratoren im eigenen Unternehmen wollten ihm keine Übersicht der aktuell verwendeten Passwörter übermitteln. "Sie waren schockiert, dass ich überhaupt gefragt habe." Burr stützte sich deshalb im Wesentlichen auf ein Paper, das in den 80ern verfasst wurde.

Heute sieht Burr seine Richtlinien deshalb deutlich kritischer: "Am Ende waren sie möglicherweise für viele Menschen zu kompliziert, um sie wirklich gut zu verstehen, und die Wahrheit ist: Ich war auf dem Holzweg."

Vor kurzem hat das NIST seine Passwort-Richtlinien umfassend überarbeitet. Warum die Sicherheitsexperten nun dazu raten, simplere Passwörter zu vergeben, können Sie hier nachlesen. 

Weitere Themen

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.