Komplexe Passwörter – Sicherheitsexperte William Burr bereut Ratschläge

William (Bill) Burr ist Autor eine der wichtigsten Veröffentlichungen über Passwort-Management. Rund 14 Jahre später bereut er jetzt öffentlich, was er damals als Ratschlag verbreitete und dass dadurch Passwörter lange und kompliziert wurden.

2003 hatte Burr für das US National Institute of Standards and Technology (NIST) gearbeitet. Burr hatte damals die “NIST Special Publication 800-6” verfasst, in dem NIST Regeln aufstellte, wie Anwender mit Passwörtern ihre Accounts sichern. Seit dem ersten Erscheinen wurde dieser Leitfaden immer wieder aktualisiert, zuletzt im Juni 2017.

Infografic Passwortsicherheit. (Bild: NCSC)

Ursprünglich hatte der 72-jährige Burr dazu geraten, spätestens alle 90 Tage lange und komplexe Passwörter durch neue, lange und komplexe Passwörtern zu ersetzen. Vor allem sollten darin große und kleine Buchstaben, Sonderzeichen und Zahlen enthalten sein.

Tatsächlich haben inzwischen verschiedene Anbieter einfache oder einfach zu erratende Passwörter verbannt. So hatte Microsoft 2016 allen Account-Inhabern mitgeteilt, dass künftig leicht zu erratende Passwörter nicht mehr erlaubt werden und angeordnet, dass die Nutzer neue Passwörter setzen.

Doch der Leitfaden hatte den falschen Akzent gesetzt, wie Burr jetzt in einem Interview mit dem Wall Street Journal erklärte. Man habe “den falschen Baum hinaufgebellt”. Der Leitfaden sei zu schwer verständlich gewesen.

“Es macht die Leute nur verrückt und sie wählen keine guten Passwörter, was immer man tut.” Daher bereue er heute vieles, was er damals geschrieben hatte. Es sei zwar richtig, dass Anwender ihre Log-ins mit privaten und einzigartigen Passwörtern schützen, aber lange und komplexe Passwörter alleine sorgten noch nicht für mehr Sicherheit.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Eine Folge des NIST-Leitfadens sei, dass Anwender Passwörter aussuchen, die sie sich gut merken können und die die Kriterien der Anbieter erfüllen. Und dadurch werden diese wiederum für Bruteforce-Attacken angreifbar.

Auch würde heute nicht mehr dazu geraten, dass Anwender häufig die Passwörter wechseln. Denn diese nehmen meist nur kleine Veränderungen vor, um sich diese besser merken zu können. Auch dadurch können Angreifer neue Passwörter schnell erraten.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Bereits 2015 hatte das GCHQ, der britische Geheimdienst, davor gewarnt, dass zu komplexe Passwörter eher hinderlich sind als helfen. Daher hatte der Geheimdienst geraten, dass Anbieter keine Vorgaben für die Passwortstärke, -länge oder -komplexität und auch keine Vorgaben für Passworts-Resets oder vorhersehbaren Kombinationen machen.

Dennoch: nach wie vor sind “12345678” und “password” die häufigsten Passwörter – und bei weitem nicht die besten Passwörter. Nicht umsonst forschen viele Unternehmen an Alternativen wie Handvenenerkennung, Fingerabdrucklesern oder Irisscans.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Redaktion

Recent Posts

BSI mahnt Smarthome-Nutzer zu mehr Wachsamkeit

Drei Viertel der Deutschen nutzen Smarthome-Geräte. Eine angemessene Absicherung gegen externe Zugriffe ist vielen jedoch…

2 Tagen ago

KI im Kampf gegen Entwaldung

Wer in der EU mit Holz handelt, muss davon Muster einreichen. Der Prüfprozess ist jedoch…

2 Tagen ago

Krankenhäuser im Visier: Wird IT-Sicherheit zur Überlebensfrage?

Zahl der Cyberangriffe auf Krankenhäuser deutlich gestiegen. Ein Interview mit Dirk Wolters, Geschäftsführer von NeTec.

3 Tagen ago

KI als Chef für ein Viertel vorstellbar

Laut Kaspersky-Umfrage halten 28 Prozent der Deutschen Künstliche Intelligenz für neutraler als menschliche Vorgesetzte.

4 Tagen ago

Sechs von zehn Unternehmen Ransomware-Opfer

Jeder achte Betrieb hat Lösegeld gezahlt. Bei 17 Prozent waren Geschäftsprozesse massiv eingeschränkt. Nur jeder…

4 Tagen ago

EU AI Act: Unternehmen sehen Hindernis für die KI-Entwicklung

Aktuelle Befragung von Deloitte zeigt eine deutliche Verunsicherung bei der Einschätzung der neuen Verordnung.

4 Tagen ago