HOME

Sicherheit: Der Mann, der uns schwierige Passwörter einbrockte, bereut seine Entscheidung

Jeder hat sich schon über komplexe Passwörter voller Sonderzeichen geärgert. Verantwortlich dafür ist Bill Burr, ein Mitarbeiter einer US-Behörde. Heute bereut er, die Regel aufgestellt zu haben und gibt zu: "Ich war auf dem Holzweg."

Operieren Hacker der CIA von Frankfurt aus?

Bill Burr entwickelte eine wichtige Passwort-Richtlinie - und war auf dem Holzweg

Es ist vermutlich schon jedem Internetnutzer passiert: Man hat ein Passwort erstellt, mindestens acht Zeichen lang, bestehend aus Buchstaben, Zahlen und Sonderzeichen - und ein paar Wochen später kann man sich nicht mehr daran erinnern, weil es viel zu komplex war. Ein Druck auf den "Passwort vergessen"-Button, und die gleiche Prozedur beginnt von vorne. Ein Ärgernis, für das ein Mann mitverantwortlich ist: Bill Burr.

Zwei fundamentale Fehleinschätzungen

Der heute 72-Jährige arbeitete in den 2000ern als Manager beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Im Jahr 2003 verfasste er das achtseitige Dokument mit dem etwas sperrigen Titel "NIST Special Publication 800-63. Appendix A", das unsere Sicherheitsvorkehrungen im Internet bis heute maßgeblich prägt. Die Richtlinien wurden zur Vorgabe für öffentliche Einrichtungen, Unternehmen, aber auch Privatpersonen.

"Viel von dem, was ich getan habe, bereue ich", sagt der mittlerweile im Ruhestand befindliche Burr nun dem "Wall Street Journal". Vor allem zwei seiner Handlungsanweisungen seien aus heutiger Sicht überholt: Das Passwort sollte alle 90 Tage geändert werden und aus möglichst vielen Sonderzeichen bestehen.

Untersuchungen zeigen etwa, dass das häufige Passwort-Ändern Unternehmen mehr schadet als eventuelle Angriffe von Cyberkriminellen kosten würden. Der Mythos, dass viele Sonderzeichen die Sicherheit per se erhöhen, ist sowieso schon längst widerlegt: Nutzer würden häufig einfach ihre bestehenden Kennwörter geringfügig modifizieren - aus "Passwort" wird dann "P4ssw0rt". Für Hacker mit ihren Brute-Force-Methoden - dabei probieren Programme in kurzer Zeit alle möglichen Passwörter durch - macht das aber nahezu keinen Unterschied.

"Ich war auf dem Holzweg"

Burr sagt im Interview mit dem "Wall Street Journal", dass er zum einen unter großem Zeitdruck stand, zum anderen hatte er kaum empirische Daten. Selbst die Systemadministratoren im eigenen Unternehmen wollten ihm keine Übersicht der aktuell verwendeten Passwörter übermitteln. "Sie waren schockiert, dass ich überhaupt gefragt habe." Burr stützte sich deshalb im Wesentlichen auf ein Paper, das in den 80ern verfasst wurde.

Heute sieht Burr seine Richtlinien deshalb deutlich kritischer: "Am Ende waren sie möglicherweise für viele Menschen zu kompliziert, um sie wirklich gut zu verstehen, und die Wahrheit ist: Ich war auf dem Holzweg."

Vor kurzem hat das NIST seine Passwort-Richtlinien umfassend überarbeitet. Warum die Sicherheitsexperten nun dazu raten, simplere Passwörter zu vergeben, können Sie hier nachlesen. 

Themen in diesem Artikel