Kennwortsicherheit – Erfinder entschuldigt sich

Bill Burr, ein Administrator am National Institute of Standards and Technology (NIST), schrieb das 8-seitige Dokument im Jahr 2003. Dieser Leitfaden zum Erstellen sicherer Kennwörter ist eine Vorlage, die heute mehr denn je verwendet wird.

Diese Vorlage ist der Grund für verschiedene Kennwortänderungen. Es muss Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten. Viele Benutzer finden diese Regeln nervig. Dafür entschuldige sich Burr nun, berichtete das Wall Street Journal.

Die Regeln basierten teilweise auf der Annahme, dass ein Mensch versuchen würde, das Kennwort zu erraten. Heute gilt dies nicht mehr. Ein Computer kann ein Kennwort, das Sonderzeichen, Zahlen und Großbuchstaben enthält, viel schneller erraten als eine einfache Folge von vier regulären Wörtern.

Die Gefahr liegt heute nicht mehr im Knacken von Kennwörtern mit der Brute-Force, sondern in der Beschaffung von Anmeldedaten durch Phishing oder durch das Anzapfen der Datenbank eines Internetdienstes.

Burr, der inzwischen im Ruhestand ist, sagt in einem Interview, dass er sehr verärgert sei: „Ich bereue jetzt vieles, was ich getan habe. Am Ende waren die Richtlinien zu komplex, als dass die meisten Menschen sie gut verstehen könnten. Und die Wahrheit ist: ich habe mich geirrt.“
Und führt weiter aus „In zwanzig Jahren haben wir uns antrainiert Kennwörter zu nutzen, die leicht von Computern entschlüsselt, aber schwierig von Menschen erinnert werden können.“

Burr sagte, er habe damals nicht viel über Kennwörter gewusst. Sein Wissen holte er sich aus einem Whitepaper aus den 1980er Jahren.

Das hat auch NIST bemerkt und schlägt in seinen aktuellen Richtlinien lange Kennwörter statt komplexer, aber kürzerer Kombinationen vor. Allerdings wird es wohl noch einige Jahre dauern, bis dies auch auf Internetportalen ankommt und die dortigen Kennwortregelungen entsprechend angepasst werden.