Im Jahre 2003 hat die US-Behörde National Institute of Standards and Technology (NIST) Empfehlungen für Passwörter herausgegeben, die schnell weltweit bei grossen und kleinen Firmen und Organisationen, auf Unis und bei Privatnutzern Standard wurden. Doch der Erfinder Bill Burr bereut nun seine Tipps - und auch die Behörde änderte nun die Empfehlungen.
Seinerzeit hatte Burr auf acht Seiten der "NIST Special Publication 800-63. Appendix A." die Regeln skizziert, die millionenfach Anwendern auf der ganzen Welt nahegelegt wurden: Passwörter sollen Grossbuchstaben enthalten, Ziffern und Sonderzeichen, wurde gepredigt, und zumindest alle 90 Tage sollte das Passwort geändert werden.
Nun bekundete der mittlerweile 72 Jahre alte Burr gegenüber dem "Wall Street Journal" (WSJ), dass er heute das meiste bereue. Denn bei Passwörtern seien die meisten Menschen wenig einfallsreich, der Einsatz von Sonderzeichen und Zahlen gleiche sehr häufig einem Muster, und das sei für Hacker leicht berechenbar.
Noch schlimmer mache es die Regel, das Passwort alle 90 Tage zu ändern. Denn die meisten Anwender würden, um sich die Kombination zu merken, minimale Änderungen vornehmen - und auch diese seien leicht zu durchschauen, wenn etwa "Pa$$wOrd1“ zu "Pa$$wOrd2“ werde, so Burr zum WSJ. Es habe einfach nicht gut funktioniert: "Es hat die Leute nur wahnsinnig gemacht.“ Burr räumt jedoch auch ein, dass er damals unter Zeitdruck gestanden sei und keinerlei statistisches Material zur Verfügung gehabt habe. Er habe sogar in seiner Behörde nach der Herausgabe der - anonymisierten - Mitarbeiterpasswörter gefragt, sei damit aber abgeblitzt. Schliesslich habe er sich von einem theoretischen Papier aus den 80er Jahren inspirieren lassen. "Am Schluss war es vielleicht für viele Leute zu kompliziert zu verstehen, und in Wahrheit war ich auf dem falscher Dampfer," so Burr, der mittlerweile im Ruhestand ist.
Seit 2003 hat sich viel getan. Heute gibt es statistisches Material zur Genüge, so etwa Hunderte Millionen gehackte und veröffentlichte Passwörter. Daraus konnten Forscher die Passwortgewohnheiten der Computernutzer studieren. Und sie mussten erkennen, dass zwar viele Anwender glauben, dass sie ihr Passwort clever gewählt haben, obwohl dies eben nicht der Fall sei. Immer wieder würden dieselben Kombinationen nur leicht modifiziert.
Auch aufgrund dieser Erkenntnisse hat die NIST ihre Empfehlungen heuer im Juni geändert. Zwei Jahre lang hatte man daran gearbeitet. Grossbuchstaben, Ziffern und Sonderzeichen - all das kommt in den neuen Empfehlungen nicht mehr vor. Stattdessen sollte man längere, aber leicht zu merkende Phrasen als Passwort verwenden, also mehrere zusammengeschriebene Wörter, die im normalen Sprachgebrauch eher nichts miteinander zu tun haben. Und ändern soll man sein Passwort nur noch, wenn es den Verdacht gibt, dass es in falsche Hände geraten ist.
Der Online-Stellenmarkt für ICT Professionals