Bill Burr, ein Manager beim National Institute of Standards and Technology (NIST), hat 2003 ein 8-seitiges Dokument geschrieben. Diese Richtlinien zum Erstellen von sicheren Passwörtern ist eine Vorlage, die heute, häufiger denn je, zum Einsatz kommt.
Diese Vorlage ist der Grund für diverse Passwort-Vorschriften. Es soll Groß- und Kleinbuchstaben enthalten, Sonderzeichen und Zahlen. Viele User empfinden diese Vorschriften als nervig. Dafür entschuldigt sich Burr jetzt, wie das Wall Street Journal berichtet.
Falsche Richtlinien
Der mittlerweile pensionierte Burr sagt in dem Interview, dass es ihm sehr leid tue: „Vieles von dem was ich getan habe, bereue ich jetzt. Im Endeffekt waren die Richtlinien zu kompliziert für die meisten Personen, um sie gut zu verstehen. Und die Wahrheit ist, dass ich auf dem Holzweg war.“
Burr sagte, dass er damals nicht viel über Passwörter wusste. Sein Wissen habe er aus einem White Paper aus den 80er-Jahren.
Die Regeln basierten teilweise auf der Annahme, dass ein Mensch versucht das Passwort zu erraten. Heute hat das keine Gültigkeit mehr. Wie in einem XKCD-Comic anschaulich erklärt wird, kann ein Computer viel schneller ein Passwort mit Sonderzeichen, Zahlen und Großbuchstaben erraten, als eine simple Folge von vier normalen Wörtern.
Lange Passwörter
Die Gefahr ist heute außerdem nicht mehr das Knacken von Passwörtern durch die Brute-Force-Methode, sondern das Erbeuten der Login-Daten durch Phishing oder durch das Abgreifen einer Datenbank eines Internet Services.
Dies hat auch die NIST erkannt und empfiehlt in ihren aktuellen Richtlinien lange Passwörter anstatt „D00feRegel!“ und ähnliche Kombinationen. Bis das allerdings zu den Internetportalen durchdringt und die Passwortvorschriften dort entsprechend angepasst werden, wird es wohl noch ein paar Jahre dauern.