Mindestens soundsoviele Zeichen und eine gewisse Portion Ziffern und Sonderzeichen. So lautet heute immer noch ein weit verbreitetes Dogma, wenn es um die Erstellung von schwer zu knackenden Passwörtern geht. Ist das in Stein gemeißelt? Eine der wichtigsten Stimmen sagt, dass das eigentlich Blödsinn sei. Im Gegenteil könne es sogar so sein, dass komplizierte Passwörter leichter zu hacken seien. Wieso Herr Burr das sagt und was das für uns alle bedeutet.
Passwörter nach Guideline 800-63A
Das National Institute of Standards and Technology (NIST) ist so etwas wie die amerikanische Behörde für Normen und Standards, ähnlich dem Deutschen Institut für Normung. Unter der Leitung von William „Bill“ E. Burr veröffentlichte die Behörde 2006 einen Richtlinienkatalog, der seine Konsequenzen hatte: Im Anhang A zur Sonderpublikation 800-63 (ab Seite 57) wird mathematisch erläutert, wieso komplizierte Passwörter mit Sonderzeichen sicherer als einfache Codes sind. Dabei zielte die Erklärung vor allem auf Brute-Force-Attacken ab, eine Methode, welche mittels Software einfach alle möglichen Kombinationen schnell durchrechnet.
Auf dieser Basis haben sich weltweit Passwort-Standards in Sicherheitsbestimmungen etabliert, die auch heute noch die Allgemeinplätze in den Köpfen von Usern beherrschen. Und natürlich sind es auch diese Richtlinien, die uns die schwer zu merkenden Passwörter beschert haben. Je komplizierter, desto besser?
Sorry, das war Quatsch
In einem kürzlich erschienenen Interview mit genau diesem Bill Burr erklärte der ehemalige NIST-Manager, dass er diese Publikation bereue und offiziell „Sorry“ sagen möchte. Er sei selbst kein großer Passwort-Experte gewesen und hatte sein Wissen aus alten Whitepapers aus den 80er Jahren. Passwörter werden heute häufiger durch Phishing oder das Hacken von Datenbanken ergaunert, nicht durch Brute-Force-Attacken. Und dazu kommt, dass er technisch auf dem Holzweg war.
Wie dieses beliebte und oft geteilte Comic von 2011 (rechts) zeigt, sind komplizierte Passwörter sogar schneller zu knacken. Und der Schlüssel zu – zumindest rechnerisch – sichereren Passwörtern sind nicht die Sonderzeichen, sondern schlicht die Länge der gewählten Buchstabenkombination. Gerade unter Codern und Hackern ist diese Erkenntnis nicht gerade neu. Viele verzweifeln trotzdem an der verkopften Realitätsferne strikter Sicherheitsvorschriften.
If we don’t solve the password problem for users in my lifetime I am gonna haunt you from beyond the grave as a ghost pic.twitter.com/Tf9EnwgoZv
— Jeff Atwood (@codinghorror) 11. August 2015
Realität vs. Policy
Ja, auch wir sind nicht ganz unschuldig und haben gute Tipps zu komplizierten Passwörtern gegeben. Sachlich war das nicht falsch, nur eben nicht sehr praxisnah. Die in den letzten Jahren gestiegene Zahl der Passwortdiebstähle zeigt eher, dass sich Cyber-Gauner nicht die Mühe machen, komplizierte Codes zu knacken. Wahrscheinlicher ist, dass entweder mit der großen Keule direkt Datensätze von Servern geklaut oder vom User ganz perfide mit Phishing-Methoden erschlichen werden. Zudem sind die mathematisch vermeintlich sicheren Zeichenkombinationen nicht annähernd so wasserdicht, wie landläufig angenommen.
Also Kommando zurück und einfach lange, aber schlichte Passwörter (beispielsweise Sätze) verwenden? So einfach ist das nicht. Privat kann man es nach Belieben halten. Aber Sicherheitsstandards in Unternehmen sind nicht selten aufwendig entwickelte Vorschriften, die im Erstellungsprozess viele Stationen zu durchlaufen haben. Und diese Standards sind oftmals auch in vertragliche Verhältnisse mit Kunden und Dienstleistern eingebunden und bestimmen Verantwortlichkeiten hinsichtlich der Sicherheit. Das reicht bis zu Strafzahlungen, sollten diese Standards nicht eingehalten werden.
Daher dürfte es eher noch viele Jahre dauern, bis sich realitätsnahe Standards durchgesetzt haben. Für noch wahrscheinlicher halten wir es, dass sich nie etwas ändern wird.
Artikelbild: JanBaby (CC0)