Komplizierte Passwörter bald Vergangenheit?
Komplizierte Regeln für Passwörter. Nutzer dürfen hoffen, dass demnächst Passwörter ohne Sonderzeichen und Ziffern eingegeben werden können. Die Standards erleben eine wichtige Änderung.
Das Internet ist voll mit karikativen Passwörtern. Beispiele: Der Griesgram hat seine Zugangsdaten vergessen, er hält einer Wahrsagerin eine Liste mit allen Websites unter die Nase und die Wahrsagerin blickt forschend in die Glaskugel. Ein strahlender Mann sagt seiner Kollegin, niemand kann sein kompliziertes Passwort erraten. Die Antwort der Kollegin: „Das lese ich einfach vom Post-It am Monitor ab!“.
Die Witze zielen darauf ab, dass Passwörter eine Pest sind. Zu viele sind zu merken, und bei der Festlegung sind komplizierten Regeln einzuhalten. Ansonsten kommt vom Buchhaltungssystem oder E-Mail-Dienst: Zu kurz, bitte mit Sonderzeichen, ohne Ziffern, bereits vorher genutzt.
Nutzer können auf eine Erleichterung hoffen, denn die einflussreiche US-amerikanische Standardisierungsorganisation NIST hat im Juni die Empfehlungen angepasst. Die NIST-Regeln werden im deutschsprachigen Raum eine sehr große Bedeutung besitzen. Es wird an der gängigen Empfehlung gerüttelt.
Die Regeln stammen aus einem Dokument und wurden vom NIST-Mitarbeiter Bill Burr 2003 aufgesetzt. Allerdings unter Zeitdruck und ohne empirische Daten. Das Resultat, alles ist jetzt noch viel komplizierter.
Die gängigen Empfehlungen auf Burrs Regeln basierend: ein Passwort mit mindestens acht Zeichen, Sonderzeichen und Ziffern. Keine Begriffe aus dem Wörterbuch und keine Namen von Angehörigen oder Haustieren. Das vergebene Passwort sollten Nutzer alle paar Wochen oder Monate erneuern.
Damit soll Schnüfflern und Hackern das Leben erschwert werden. Sichere Passwörter seien eine zufällige Sequenz aus mindestens acht oder zehn Zeichen, betont Passwort-Experte Arno Wacker. Jedoch leidet darunter die Benutzerfreundlichkeit, denn das kann sich ein Mensch kaum merken. Hauptsächlich, wenn alle 90 Tage neu geändert werden muss.
Die komplizierten Regeln ziehen mehrere unerwünschte Konsequenzen nach sich. Viele Nutzer puzzeln Begriffe zusammen, sodass Ausrufezeichen oder Ziffern die Buchstaben ersetzen, und werden bei Erneuerung nur leicht geändert. Als Sicherheit nicht das Beste, denn Hacker besitzen Programme, erkennen diese Muster und probieren einfach durch.
Vorgaben an den Nutzern sind mit Sicherheit durchaus sinnvoll. Das zeigen die beliebtesten Passwörter. Von Forschern können diese durch Analysieren von Daten ermittelt werden, die von Hacker in das Netz gestellt werden. Ein Beispiel die massiven Cyberangriffe auf Yahoo, den Softwarehersteller Adobe oder den Seitensprungdienst Ashley Madison. Es gelangten Millionen von Datensätzen in den vergangenen Jahren an die Öffentlichkeit.
