Passwörter Dauernd ändern? So ein Unsinn

„Ihr Passwort läuft ab“: Diese Aufforderung nervt viele Computernutzer.

(Foto: Glenn Carsten Peters/Unsplash)

Viele Sonderzeichen und ständige Wechsel sollen Kennwörter sicher machen - stimmt aber nicht.

Von Jannis Brühl

Bill Burr hat Schuld auf sich geladen. Er ist verantwortlich für sehr viel Wut, gestohlene Zeit und Flüche, die Menschen vor ihren Computern ausgestoßen haben. Er hat die Vorgaben für Passwörter verfasst, die mehr als ein Jahrzehnt als Nonplusultra galten - dabei machten sie Computer oft kein Stück sicherer.

Der heute 72-Jährige arbeitete beim National Institute of Standards and Technology, einer US-Behörde, die unter anderem für Technologiestandards zuständig ist. 2003 verfasste er dort das achtseitige Dokument "NIST Special Publication 800-63. Appendix A". Es enthält Empfehlungen, zu welcher Art Passwörter Behörden, Unternehmen und Websitebetreiber ihre Nutzer und Mitarbeiter zwingen sollen. Der Text wurde zum Kanon, weltweit richteten sich viele Organisationen danach. Und die Nutzer ärgerten sich.

Heute ist Burr in Rente. Dem Wall Street Journal sagte er: "Vieles von dem, was ich getan habe, bereue ich." In diesem Sommer überarbeitete das NIST seine Empfehlungen komplett. Im Gegensatz zu Burr stützten sich die Verantwortlichen nun auf große Mengen an Daten, aus denen sie Tipps für schwer zu knackende Passwörter destillierten.

Besonders zwei von Burrs Empfehlungen, die das NIST nun gestrichen hat, trieben viele Menschen an den Rand des Wahnsinns: Nun ist offiziell, dass es weder besonders sinnvoll ist, viele Sonderzeichen zu verwenden, noch sein Passwort alle 90 Tage zu ändern. Dazu zwingen Unternehmen ihre Mitarbeiter, was bei denen ungefähr so beliebt ist wie ein Stau beim Pendeln. Microsoft-Analyst Cormac Herley schätzte schon vor Jahren, dass die ständige Umstellung der Passwörter Unternehmen mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll.

Burrs Vorgabe, nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen in Passwörtern zu verwenden, brachte oft ebenfalls nicht den gewünschten Effekt. Nutzer variierten einfach nur einen Begriff, machten etwa aus "Passwort": "Pa$$w0rt1!!" - was Algorithmen leicht erraten können. Besser ist es, aus mehreren Worten ein möglichst langes Passwort (zum Beispiel einen ganzen Satz) zu erstellen.

Burrs Problem 2003 war zum einen, dass er unter Zeitdruck stand. Zum anderen wusste damals niemand genau, wie man Passwörter wirklich sicherer macht. Burr sagte dem Wall Street Journal, er habe sich vor allem auf ein Paper aus den Achtzigerjahren gestützt, einer Zeit, in der nur ein kleiner Kreis an Menschen überhaupt Computerpasswörter benutzte. Seine Nachfolger konnten bei der Überarbeitung unter anderem Abermillionen von Passwörtern auswerten, die Hacker in den vergangenen Jahren nach Angriffen auf beliebte Websites geknackt und ins Netz gestellt hatten. So lernten sie viel darüber, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker mit gängigen digitalen Werkzeugen zu knacken sind.

Jetzt sagt Burr: "Am Ende war es wohl für viele Leute zu kompliziert, um es wirklich gut zu verstehen, und die Wahrheit ist: Ich war auf dem falschen Dampfer."