Jeder, der in einem größeren Büro arbeitet, kennt das wohl: Pünktlich alle 90 Tage wird man aufgefordert, schleunigst sein Passwort zu ändern. Dieses soll möglichst obskur sein, indem es Sonderzeichen und Ziffern enthält; manchmal auch noch Großbuchstaben. Man merkt sich den neuen Code – und 90 Tage später ist er wieder passé.

Das hat die Menschheit vor allem einem Informatiker namens Bill Burr zu verdanken. Er entwickelte 2003 für das US National Institute of Standards and Technology (Nist) einen Passwort-Leitfaden, der in Regierungsbehörden zum Einsatz kam. Bald übernahmen auch Privatkonzerne die Regeln, die in weiterer Folge auch bei wichtigen IT-Diensten für private User Einzug hielten.

"Meiste bereue ich"

Heute ist klar, dass die Tipps relativ sinnfrei sind. "Das meiste von dem, was ich getan habe, bereue ich jetzt", sagte Burr nun zum "Wall Street Journal". Tatsächlich wurden die Nist-Passwortregeln nun auf den neuesten Stand gebracht. Regeln wie der Einsatz von Sonderzeichen und Ziffern wurden ebenso wie die Befristung von Passwörtern gestrichen. De facto führte diese nämlich nur dazu, dass Nutzer nach 90 Tagen leichte Adaptionen der früheren Passwörter verwendeten. Aus "KatzePixel79!" wurde dann etwa "KatzePixel78!", was Hacker vor keine größeren Probleme stellt.

Vier Wörter statt Sonderzeichen

Der bekannte Comiczeichner und Blogger Randall Munroe zeigte schon vor Jahren, dass eine Kette von vier normalen Wörtern ("correct horse battery staple") weitaus schwieriger zu knacken ist als ein kürzeres Passwort mit Sonderzeichen ("Tr0ub4dor&3"). Während Ersteres ganze 550 Jahre gegen reguläre Knackversuche hält, kann die zweite Variante schon nach drei Tagen aufgebrochen werden. Das liegt auch daran, dass Nutzer oftmals bestimmte Ziffern mit bestimmten Buchstaben vertauschten, also etwa "0" für "O" oder "4" für "a".

Experten empfehlen Nutzern, als Code eine Reihe von normalen Wörtern zu benutzen, die aneinandergereiht keinen Sinn ergeben. Wenn Ziffern oder Sonderzeichen zum Einsatz kommen, sollten diese in der Mitte des Passworts auftauchen, aber nicht an Anfang oder Ende. Wer viele verschiedene Webservices benutzt, sollte auf einen Passwortmanager zurückgreifen und wichtige Log-ins mit einer Zwei-Faktor-Authentifizierung absichern.

Kaum Daten

Allzu kritisch sollte man das Wirken von Passwort-Regelerfinder Burr jedoch nicht sehen: Als er 2003 den Leitfaden verfasste, gab es noch kaum Daten zur Passwort-Nutzung. Erst gehackte Kundendaten brachten Forschern Material. Burrs Nachfolger Paul Grassi, der das Regelwerk für Nist nun modernisiert, hat dementsprechend viel Respekt vor Burr: "Er erfand Sicherheitsregeln, die zehn bis 15 Jahre gehalten haben – ich kann nur hoffen, dass mein Dokument ähnlich lang aktuell bleibt." (fsc, 9.8.2017)