Komplexe Passwörter – Sicherheitsexperte William Burr bereut Ratschläge

AuthentifizierungSicherheit

Großbuchstaben, Symbole, Zahlen und spätestens alle 90 Tage neu. So lauten gängige Regeln für Passworte. Ein Sicherheitsexperte kommt nun zu neuen Erkenntnissen.

William (Bill) Burr ist Autor eine der wichtigsten Veröffentlichungen über Passwort-Management. Rund 14 Jahre später bereut er jetzt öffentlich, was er damals als Ratschlag verbreitete und dass dadurch Passwörter lange und kompliziert wurden.

2003 hatte Burr für das US National Institute of Standards and Technology (NIST) gearbeitet. Burr hatte damals die “NIST Special Publication 800-6” verfasst, in dem NIST Regeln aufstellte, wie Anwender mit Passwörtern ihre Accounts sichern. Seit dem ersten Erscheinen wurde dieser Leitfaden immer wieder aktualisiert, zuletzt im Juni 2017.

Infografic Passwortsicherheit. (Bild: NCSC)
Infografic Passwortsicherheit. (Bild: NCSC)

Ursprünglich hatte der 72-jährige Burr dazu geraten, spätestens alle 90 Tage lange und komplexe Passwörter durch neue, lange und komplexe Passwörtern zu ersetzen. Vor allem sollten darin große und kleine Buchstaben, Sonderzeichen und Zahlen enthalten sein.

Tatsächlich haben inzwischen verschiedene Anbieter einfache oder einfach zu erratende Passwörter verbannt. So hatte Microsoft 2016 allen Account-Inhabern mitgeteilt, dass künftig leicht zu erratende Passwörter nicht mehr erlaubt werden und angeordnet, dass die Nutzer neue Passwörter setzen.

Doch der Leitfaden hatte den falschen Akzent gesetzt, wie Burr jetzt in einem Interview mit dem Wall Street Journal erklärte. Man habe “den falschen Baum hinaufgebellt”. Der Leitfaden sei zu schwer verständlich gewesen.

“Es macht die Leute nur verrückt und sie wählen keine guten Passwörter, was immer man tut.” Daher bereue er heute vieles, was er damals geschrieben hatte. Es sei zwar richtig, dass Anwender ihre Log-ins mit privaten und einzigartigen Passwörtern schützen, aber lange und komplexe Passwörter alleine sorgten noch nicht für mehr Sicherheit.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Eine Folge des NIST-Leitfadens sei, dass Anwender Passwörter aussuchen, die sie sich gut merken können und die die Kriterien der Anbieter erfüllen. Und dadurch werden diese wiederum für Bruteforce-Attacken angreifbar.

Auch würde heute nicht mehr dazu geraten, dass Anwender häufig die Passwörter wechseln. Denn diese nehmen meist nur kleine Veränderungen vor, um sich diese besser merken zu können. Auch dadurch können Angreifer neue Passwörter schnell erraten.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Bereits 2015 hatte das GCHQ, der britische Geheimdienst, davor gewarnt, dass zu komplexe Passwörter eher hinderlich sind als helfen. Daher hatte der Geheimdienst geraten, dass Anbieter keine Vorgaben für die Passwortstärke, -länge oder -komplexität und auch keine Vorgaben für Passworts-Resets oder vorhersehbaren Kombinationen machen.

Dennoch: nach wie vor sind “12345678” und “password” die häufigsten Passwörter – und bei weitem nicht die besten Passwörter. Nicht umsonst forschen viele Unternehmen an Alternativen wie Handvenenerkennung, Fingerabdrucklesern oder Irisscans.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen