Komplexe Passwörter – Sicherheitsexperte William Burr bereut Ratschläge

AuthentifizierungSicherheit

Großbuchstaben, Symbole, Zahlen und spätestens alle 90 Tage neu. So lauten gängige Regeln für Passworte. Ein Sicherheitsexperte kommt nun zu neuen Erkenntnissen.

William (Bill) Burr ist Autor eine der wichtigsten Veröffentlichungen über Passwort-Management. Rund 14 Jahre später bereut er jetzt öffentlich, was er damals als Ratschlag verbreitete und dass dadurch Passwörter lange und kompliziert wurden.

2003 hatte Burr für das US National Institute of Standards and Technology (NIST) gearbeitet. Burr hatte damals die “NIST Special Publication 800-6” verfasst, in dem NIST Regeln aufstellte, wie Anwender mit Passwörtern ihre Accounts sichern. Seit dem ersten Erscheinen wurde dieser Leitfaden immer wieder aktualisiert, zuletzt im Juni 2017.

Infografic Passwortsicherheit. (Bild: NCSC)
Infografic Passwortsicherheit. (Bild: NCSC)

Ursprünglich hatte der 72-jährige Burr dazu geraten, spätestens alle 90 Tage lange und komplexe Passwörter durch neue, lange und komplexe Passwörtern zu ersetzen. Vor allem sollten darin große und kleine Buchstaben, Sonderzeichen und Zahlen enthalten sein.

Tatsächlich haben inzwischen verschiedene Anbieter einfache oder einfach zu erratende Passwörter verbannt. So hatte Microsoft 2016 allen Account-Inhabern mitgeteilt, dass künftig leicht zu erratende Passwörter nicht mehr erlaubt werden und angeordnet, dass die Nutzer neue Passwörter setzen.

Doch der Leitfaden hatte den falschen Akzent gesetzt, wie Burr jetzt in einem Interview mit dem Wall Street Journal erklärte. Man habe “den falschen Baum hinaufgebellt”. Der Leitfaden sei zu schwer verständlich gewesen.

“Es macht die Leute nur verrückt und sie wählen keine guten Passwörter, was immer man tut.” Daher bereue er heute vieles, was er damals geschrieben hatte. Es sei zwar richtig, dass Anwender ihre Log-ins mit privaten und einzigartigen Passwörtern schützen, aber lange und komplexe Passwörter alleine sorgten noch nicht für mehr Sicherheit.

Ausgewähltes Whitepaper

Keine digitale Transformation ohne Software-Defined Networking

Unternehmen setzen auf die Digitalisierung. Manche haben bereits Maßnahmen eingeleitet, andere bereiten sich darauf vor. Dieses Whitepaper untersucht, welchen Beitrag die Cloud dabei leisten kann.

Eine Folge des NIST-Leitfadens sei, dass Anwender Passwörter aussuchen, die sie sich gut merken können und die die Kriterien der Anbieter erfüllen. Und dadurch werden diese wiederum für Bruteforce-Attacken angreifbar.

Auch würde heute nicht mehr dazu geraten, dass Anwender häufig die Passwörter wechseln. Denn diese nehmen meist nur kleine Veränderungen vor, um sich diese besser merken zu können. Auch dadurch können Angreifer neue Passwörter schnell erraten.

Mehr zum Thema

Server-Hosting: Sicherheit und Datenschutz

Wer Server oder eigene Clouddienste im Internet zur Verfügung stellen will, sollte auf maximale Sicherheit achten. Dabei hilft ein zuverlässiger Partner, der sich um die Sicherheit der Server und der darauf installierten Software kümmert. Erfahren Sie hier mehr.

Bereits 2015 hatte das GCHQ, der britische Geheimdienst, davor gewarnt, dass zu komplexe Passwörter eher hinderlich sind als helfen. Daher hatte der Geheimdienst geraten, dass Anbieter keine Vorgaben für die Passwortstärke, -länge oder -komplexität und auch keine Vorgaben für Passworts-Resets oder vorhersehbaren Kombinationen machen.

Dennoch: nach wie vor sind “12345678” und “password” die häufigsten Passwörter – und bei weitem nicht die besten Passwörter. Nicht umsonst forschen viele Unternehmen an Alternativen wie Handvenenerkennung, Fingerabdrucklesern oder Irisscans.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen