Themenüberblick

Regelwerk über den Haufen geworfen

Was seit Jahren als fast unumstößliche Regel für Passwortsicherheit propagiert wird, sollte bald Schnee von gestern sein. 2003 hatte die US-Behörde National Institute of Standards and Technology (NIST) Empfehlungen herausgegeben, die schnell weltweit bei großen und kleinen Firmen, auf Unis und bei Privatnutzern Standard wurden. Doch der Erfinder bereut nun seine Tipps - und auch die Behörde änderte nun die Empfehlungen.

Auf acht Seiten der „NIST Special Publication 800-63. Appendix A.“ hatte Bill Burr die Regeln skizziert, die millionenfach Usern auf der ganzen Welt nahegelegt wurden: Passwörter sollen Großbuchstaben enthalten, Ziffern und Sonderzeichen. Und: Zumindest alle 90 Tage sollte das Passwort geändert werden.

Leicht berechenbar

„Das meiste bereue ich jetzt“, sagte der mittlerweile 72-jährige Burr dem „Wall Street Journal“. Denn bei Passwörtern sind die meisten Menschen wenig einfallsreich, der Einsatz von Sonderzeichen und Zahlen gleicht sehr häufig einem Muster - und ist damit für Hacker leicht berechenbar.

Noch schlimmer mache es die Regel, das Passwort alle 90 Tage zu ändern. Denn die meisten User würden, um sich die Kombination zu merken, minimale Änderungen vornehmen - und auch diese seien leicht zu durchschauen, wenn etwa „Pa$$wOrd1“ zu „Pa$$wOrd2“ werde. Es habe einfach nicht gut funktioniert: „Es hat die Leute nur wahnsinnig gemacht.“ Die Regeln würden zwar befolgt, aber „gute Passwörter“ würden nicht gewählt, so Burr, der mittlerweile in Pension ist.

Keinerlei Daten zur Verfügung

Allerdings räumte er ein, dass er damals unter Zeitdruck gestanden sei und keinerlei statistisches Material zur Verfügung gehabt habe. Er habe sogar in seiner Behörde nach der Herausgabe der - anonymisierten - Mitarbeiterpasswörter gefragt, sei damit aber abgeblitzt. Schließlich habe er sich von einem theoretischen Papier aus den 80er Jahren inspirieren lassen. „Am Schluss war es vielleicht für viele Leute zu kompliziert zu verstehen, und in Wahrheit war ich auf dem falscher Dampfer.“

Grundlegend überarbeitet

Mittlerweile gibt es statistisches Material zur Genüge - nämlich Hunderte Millionen gehackte und veröffentlichte Passwörter. Daraus konnten Forscher die Passwortgewohnheiten der User studieren - und mussten zu einem ernüchternden Schluss kommen. Viele glauben zwar, dass sie clever gewählt sind, das sind sie aber nicht. Immer wieder werden dieselben Kombinationen nur leicht modifiziert.

Auch aufgrund dieser Erkenntnisse hat die NIST ihre Empfehlungen heuer im Juni geändert. Zwei Jahre lang hatte man daran gearbeitet. „Wir haben bei null angefangen“, sagte Projektleiter Paul Grassi dem „Wall Street Journal“. Dabei habe man am Anfang gedacht, das Papier brauche nur ein kleines Update. Auch er meint: Die Regeln hätten für die Sicherheit wenig gebracht, dafür aber negative Auswirkungen auf die Usability gehabt.

Lange Phrasen als Empfehlung

Großbuchstaben, Ziffern und Sonderzeichen - all das kommt in den neuen Empfehlungen nicht mehr vor. Stattdessen sollte man längere, aber leicht zu merkende Phrasen als Passwort verwenden, also mehrere zusammengeschriebene Wörter - die im normalen Sprachgebrauch eher nichts miteinander zu tun haben. Ändern soll man sein Passwort nur noch, wenn es den Verdacht gibt, dass es in falsche Hände geraten ist. Grassi glaubt, dass sein Ex-Kollege Burr bei seiner Selbstkritik ein bisschen zu streng war. Immerhin habe Burr ein Sicherheitsdokument erstellt, das zehn bis 15 Jahre gehalten habe: „Ich hoffe nur, dass wir jetzt ein Dokument haben, das auch so lange aktuell ist.“

Links: