IT-Sicherheit – Der Mann, der schuld ist am Passwort-Wahnsinn, bereut sein Werk

IT-Sicherheit:Der Mann, der schuld ist am Passwort-Wahnsinn, bereut sein Werk

10. August 2017, 13:11 Uhr

Bill Burr ist verantwortlich für die Empfehlung, Passwörter alle 90 Tage zu wechseln.
Dem Wall Street Journal sagte er nun: "Ich war auf dem falschen Dampfer."
Seine Nachfolger in der zuständigen US-Behörde haben mittlerweile unter anderem die Empfehlung gegeben, möglichst lange Passwörter aus mehreren Worten zu erstellen.

Bill Burr hat Schuld auf sich geladen. Er ist verantwortlich für sehr viel Wut, gestohlene Zeit und Flüche, die Menschen vor ihren Computern ausgestoßen haben. Der heute 72-Jährige hat die Vorgaben für Passwörter verfasst, die mehr als ein Jahrzehnt als Nonplusultra galten - dabei machten sie Computernutzer oft kein Stück sicherer, kosteten sie dafür aber Nerven.

Der heute 72-Jährige arbeitete beim National Institute of Standards and Technology, einer US-Behörde, die unter anderem für Technologiestandards zuständig ist. 2003 verfasste er dort das achtseitige Dokument "NIST Special Publication 800-63. Appendix A". Es enthält Empfehlungen, zu welcher Art Passwörter Behörden, Unternehmen und Webseitenbetreiber ihre Nutzer und Mitarbeiter zwingen sollen. Der Text wurde zum Kanon, weltweit richteten sich viele Organisationen danach. Und die Nutzer ärgerten sich.

Heute ist Burr in Rente. Dem Wall Street Journal sagte er nun zu seinen Empfehlungen: "Vieles von dem, was ich getan habe, bereue ich." In diesem Sommer überarbeitete das NIST seine Empfehlungen komplett (alles zu den neuen Regeln hier). Im Gegensatz zu Burr stützten sich die Verantwortlichen nun auf große Mengen an Daten, aus denen sie Tipps für schwer zu knackende Passwörter destillierten. Paul Grassi, der die Überarbeitung zwei Jahre lang leitete, sagte dem Journal, am Anfang sei sein Team davon ausgegangen, das Dokument nur leicht überarbeiten zu müssen, aber: "Am Ende mussten wir es komplett neu aufsetzen."

Besonders zwei von Burrs Empfehlungen, die das NIST nun gestrichen hat, trieben viele Menschen an den Rand des Wahnsinns: Nun ist offiziell, dass es weder besonders sinnvoll ist, viele Sonderzeichen zu verwenden, noch sein Passwort alle 90 Tage zu ändern. Dazu zwingen Unternehmen ihre Mitarbeiter, was bei denen ungefähr so beliebt ist wie ein Stau beim Pendeln. Microsoft-Analyst Cormac Herley schätzte schon vor Jahren, dass die ständige Umstellung der Passwörter Unternehmen mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll.

Burrs Vorgabe, nicht nur kleine und große Buchstaben, sondern auch eine Ziffer und ein Sonderzeichen in Passwörtern zu verwenden, brachte oft ebenfalls nicht den gewünschten Effekt. Nutzer variierten einfach nur einen Begriff, machten etwa aus "Passwort": "Pa$$w0rt1!!" - was Algorithmen leicht erraten können. Besser ist es, aus mehreren Worten ein möglichst langes Passwort (zum Beispiel einen ganzen Satz) zu erstellen - ganz ohne absurd wirkende Schreibweise oder Sonderzeichen.

Burrs Problem 2003 war zum einen, dass er unter Zeitdruck stand. Zum anderen wusste damals niemand genau, wie man Passwörter wirklich sicherer macht. Burr sagte dem Journal, er habe sich vor allem auf ein Paper aus den Achtzigerjahren gestützt, einer Zeit, in der nur ein kleiner Kreis an Menschen überhaupt Computerpasswörter benutzte. Seine Nachfolger konnten bei der Überarbeitung unter anderem Abermillionen von Passwörtern auswerten, die Hacker in den vergangenen Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. So lernten sie viel darüber, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker mit gängigen digitalen Werkzeugen zu knacken sind.

Heute sagt Burr: "Am Ende war es wohl für viele Leute zu kompliziert, um es wirklich gut zu verstehen, und die Wahrheit ist: Ich war auf dem falschen Dampfer."