Der Mann, der für die Passwort-Hölle verantwortlich ist, bereut alles

Anton Waldt
Shutterstock

Die bislang in vielen Firmen, Websites, Communities und Hardware-Situationen gültigen Passwort-Empfehlungen kennt jeder: Langes Passwort mit Sonderzeichen und Zahlen, Groß- und Kleinschreibung und dann noch alle paar Monate ändern. Dabei ist längst klar: So funktionieren gute Passwörter nicht. Passwörter müssten viel mehr ganz neu gedacht werden.

Bill Burr ist für diese Passwort-Hölle verantwortlich. 2003 hat er für das National Institute of Standards and Technology (NIST) eine Empfehlung für die Passwort-Handhabung geschrieben - und hinzugefügt, dass diese Empfehlung regelmäßig überarbeitet werden müsste. Natürlich kam es anders - und die NIST-Empfehlungen gingen unverändert um die Welt.

In eine Interview mit dem Wall Street Journal hat Bill Burr nun erklärt: "Vieles von dem, was ich getan habe, bereue ich." Wir auch, Bill. Wir auch.

Die gute Nachricht: Das NIST hat gerade die Arbeit an einem neuen Regelwerk beendet und das verspricht einiges an Linderung. So sollen IT-Abteilungen fürderhin nur mehr bei einem Sicherheitsvorfall eine Passwort-Änderung erzwingen. Die bislang gängige Praxis der regelmäßigen Änderungen führt nur zu schlechteren, weil vorhersagbaren Passwörtern.

Außerdem geht die Empfehlung nun weg von eher kurzen Passwörtern mit vielen Sonderzeichen, gemischter Groß- und Kleinschreibung und Zahlen hin zu langen, aber einfacher zu merkenden Phrasen. Denn nachweislich ist das alte Modell der komplexen, schwer zu merkenden Passwörter auf lange Sicht unsicherer. Besser sind möglichst lange Passwörter - erlaubt man Leerzeichen sind damit besonders einfach zu merkende Sätze möglich oder Aneinanderreihungen von leicht zu merkenden Wörtern (Hund Katze Maus wird damit das neue passwort123)

Die ganzen neuen Empfehlungen gibt es schon auf der NIST-Website. Erinnert eure IT-Abteilung daran, wenn sie das nächste Mal eine Passwort-Änderung in einem unlesbaren Format von euch erfordert.

Wall Street Journal, NIST Special Publication 800-63B