Nervige Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Da hat man uns jahrelang eingebleut, daß ein »sicheres« Passwort mindestens acht Zeichen lang sein soll und Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen enthalten muß. Nun bereut Bill Burr, der Erfinder dieser Regel, seine Vorgaben, denn sie basierten auf der Annahme, daß ein Mensch versuche, das Passwort zu erraten. Heute habe das keine Gültigkeit mehr und viele der herkömmlichen Sicherheitsregeln brächten nichts.

Wie dieser XKCD-Comic (CC BY-NC 2.5) anschaulich erklärt, kann ein Computer viel schneller ein Passwort mit Sonderzeichen, Zahlen und Großbuchstaben erraten, als eine simple Folge von vier normalen Wörtern.

Außerdem sei die Gefahr heute nicht mehr das Knacken von Passwörtern durch die Brute-Force-Methode, sondern das Erbeuten der Login-Daten durch Phishing oder durch das Abgreifen einer Datenbank eines Internet Services. Dies hat auch das National Institute of Standards and Technology (NIST) – dessen Mitarbeiter Burr einst war – erkannt und empfiehlt in ihren aktuellen Richtlinien lange Passwörter anstatt »D00feRegel!« und ähnliche Kombinationen. Und auch das vielfach empfohlene, häufige und willkürliche Ändern von Passwörtern sei normalerweise eher schädlich, weil man die Passwörter dann vergißt. Aus diesem Grund sollte man Passwörter nur dann ändern, wenn man erfährt, das sie kompromittiert wurden. Bis dies allerdings zu den Internetportalen durchdringt und die Passwortvorschriften dort entsprechend angepaßt werden, werden wohl noch ein paar Jahre vergehen.

(Kommentieren)