Am 01. Februar ist der "Ändere-Dein-Passwort-Tag". Zu diesem Anlass haben wir den folgenden Text noch einmal aktualisiert.
Es ist vermutlich schon jedem Internetnutzer passiert: Man hat ein Passwort erstellt, mindestens acht Zeichen lang, bestehend aus Buchstaben, Zahlen und Sonderzeichen - und ein paar Wochen später kann man sich nicht mehr daran erinnern, weil es viel zu komplex war. Ein Druck auf den "Passwort vergessen"-Button, und die gleiche Prozedur beginnt von vorne. Ein Ärgernis, für das ein Mann mitverantwortlich ist: Bill Burr.
Zwei fundamentale Fehleinschätzungen
Burr arbeitete in den 2000ern als Manager beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Im Jahr 2003 verfasste er das achtseitige Dokument mit dem etwas sperrigen Titel "NIST Special Publication 800-63. Appendix A", das unsere Sicherheitsvorkehrungen im Internet bis heute maßgeblich prägt. Die Richtlinien wurden zur Vorgabe für öffentliche Einrichtungen, Unternehmen, aber auch Privatpersonen.
"Viel von dem, was ich getan habe, bereue ich", sagte Burr 2017 dem "Wall Street Journal", als er bereits im Ruhestand war. Vor allem zwei seiner Handlungsanweisungen seien überholt: Das Passwort sollte alle 90 Tage geändert werden und aus möglichst vielen Sonderzeichen bestehen.
Untersuchungen zeigen etwa, dass das häufige Passwort-Ändern Unternehmen mehr schadet als eventuelle Angriffe von Cyberkriminellen kosten würden. Der Mythos, dass viele Sonderzeichen die Sicherheit per se erhöhen, ist sowieso schon längst widerlegt: Nutzer würden häufig einfach ihre bestehenden Kennwörter geringfügig modifizieren - aus "Passwort" wird dann "P4ssw0rt". Für Hacker mit ihren Brute-Force-Methoden - dabei probieren Programme in kurzer Zeit alle möglichen Passwörter durch - macht das aber nahezu keinen Unterschied.
"Ich war auf dem Holzweg"
Burr sagte im Interview mit dem "Wall Street Journal", dass er zum einen unter großem Zeitdruck stand, zum anderen hatte er kaum empirische Daten. Selbst die Systemadministratoren im eigenen Unternehmen wollten ihm keine Übersicht der aktuell verwendeten Passwörter übermitteln. "Sie waren schockiert, dass ich überhaupt gefragt habe." Burr stützte sich deshalb im Wesentlichen auf ein Paper, das in den 80ern verfasst wurde.
Im Rückblick sah Burr seine Richtlinien deshalb deutlich kritischer: "Am Ende waren sie möglicherweise für viele Menschen zu kompliziert, um sie wirklich gut zu verstehen, und die Wahrheit ist: Ich war auf dem Holzweg."
Das NIST hat seine Passwort-Richtlinien später umfassend überarbeitet. Warum Sicherheitsexperten nun dazu raten, simplere Passwörter zu vergeben, können Sie hier nachlesen.
Lesen Sie auch:
- Peinlich: Das sind die beliebtesten Passwörter der Deutschen
