Passwort-Vorgaben im Unternehmen: Der Vorreiter bereut sein Werk
Bill Burr ist 72 Jahre alt, mittlerweile im Ruhestand und arbeitete beim National Institute of Standards and Technology, das unter anderem für Technlogiestandards zuständig ist. Er ist auch derjenige, der die Vorgaben für Passwörter verfasst hat, die mehr als ein Jahrzent als das Nonplusultra galten. Im Rahmen seines 2008 verfassten Dokumentes “NIST Special Publication 800-63. Appendix A” empfahl er, welche Passwort-Richtlinien Behörden, Unternehmen und Webseitenbetreiber für ihre Nutzer und Mitarbeiter einführen sollten.
Konkret regte Burr an, dass Passwörter alle 90 Tage gewechselt werden sowie stets nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen enthalten sollten. Der Schutz, der durch solche Maßnahmen tatsächlich erreicht wird, ist allerdings schon seit längerem fraglich. So schätzte Microsoft-Analyst Cornac Herley schon vor Jahren, dass die Pflicht, das Passwort in regelmäßigen Abständen zu wechseln, mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll. Auch die Varation zwischen normalen Buchstaben, Zahlen und Sonderzeichen bringt oftmals nicht den gewünschten Effekt der höheren Sicherheit, da Nutzer in vielen Fällen einfach nur einen Begriff variieren und die einzelnen Buchstaben eines Wortes mit Sonderzeichen – wie etwa dem “$” für ein “S” – ersetzen. Algorithmen, die dafür genutzt werden, Passwörter erraten zu können, können diese Varationen leicht erraten.
Wie Burr in einem Interview mit dem Wall Street Journal erklärte, bereue er seine Empfehlungen mittlerweile: “Vieles von dem, was ich getan habe, bereue ich.” Sein Problem war vor allem, dass 2003 der Kenntnisstand über den effektiven Schutz von Passwörtern sehr gering war und er sich daher laut seinen Angaben im Interview auf ein Paper aus den 1980er Jahren stützte. Einem Jahrzent, in dem nur Wenige überhaupt ein Computerpasswort benutzten.
Nicht nur deswegen hat der NIST in diesem Sommer Burrs Empfehlungen komplett überarbeitet. Dabei konnten sie auf die Auswertung von einer Vielzahl von Passwörtern zurückgreifen, die Hacker in den letzten Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. Dies half dem NIST, zu verstehen, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker zu knacken sind. Nach Ansicht des NIST empfiehlt es sich daher, Passwörter aus möglichst mehreren Wörter zu bilden, sodass ein langes Passwort entsteht. Die Nutzung von Sonderzeichen und Zahlen ist dabei nicht mehr erforderlich.