Komplexe Passwörter – Sicherheitsexperte William Burr bereut Ratschläge

William (Bill) Burr ist Autor eine der wichtigsten Veröffentlichungen über Passwort-Management. Rund 14 Jahre später bereut er jetzt öffentlich, was er damals als Ratschlag verbreitete und dass dadurch Passwörter lange und kompliziert wurden.

2003 hatte Burr für das US National Institute of Standards and Technology (NIST) gearbeitet. Burr hatte damals die “NIST Special Publication 800-6” verfasst, in dem NIST Regeln aufstellte, wie Anwender mit Passwörtern ihre Accounts sichern. Seit dem ersten Erscheinen wurde dieser Leitfaden immer wieder aktualisiert, zuletzt im Juni 2017.

Infografic Passwortsicherheit. (Bild: NCSC)

Ursprünglich hatte der 72-jährige Burr dazu geraten, spätestens alle 90 Tage lange und komplexe Passwörter durch neue, lange und komplexe Passwörtern zu ersetzen. Vor allem sollten darin große und kleine Buchstaben, Sonderzeichen und Zahlen enthalten sein.

Tatsächlich haben inzwischen verschiedene Anbieter einfache oder einfach zu erratende Passwörter verbannt. So hatte Microsoft 2016 allen Account-Inhabern mitgeteilt, dass künftig leicht zu erratende Passwörter nicht mehr erlaubt werden und angeordnet, dass die Nutzer neue Passwörter setzen.

Doch der Leitfaden hatte den falschen Akzent gesetzt, wie Burr jetzt in einem Interview mit dem Wall Street Journal erklärte. Man habe “den falschen Baum hinaufgebellt”. Der Leitfaden sei zu schwer verständlich gewesen.

“Es macht die Leute nur verrückt und sie wählen keine guten Passwörter, was immer man tut.” Daher bereue er heute vieles, was er damals geschrieben hatte. Es sei zwar richtig, dass Anwender ihre Log-ins mit privaten und einzigartigen Passwörtern schützen, aber lange und komplexe Passwörter alleine sorgten noch nicht für mehr Sicherheit.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Eine Folge des NIST-Leitfadens sei, dass Anwender Passwörter aussuchen, die sie sich gut merken können und die die Kriterien der Anbieter erfüllen. Und dadurch werden diese wiederum für Bruteforce-Attacken angreifbar.

Auch würde heute nicht mehr dazu geraten, dass Anwender häufig die Passwörter wechseln. Denn diese nehmen meist nur kleine Veränderungen vor, um sich diese besser merken zu können. Auch dadurch können Angreifer neue Passwörter schnell erraten.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Bereits 2015 hatte das GCHQ, der britische Geheimdienst, davor gewarnt, dass zu komplexe Passwörter eher hinderlich sind als helfen. Daher hatte der Geheimdienst geraten, dass Anbieter keine Vorgaben für die Passwortstärke, -länge oder -komplexität und auch keine Vorgaben für Passworts-Resets oder vorhersehbaren Kombinationen machen.

Dennoch: nach wie vor sind “12345678” und “password” die häufigsten Passwörter – und bei weitem nicht die besten Passwörter. Nicht umsonst forschen viele Unternehmen an Alternativen wie Handvenenerkennung, Fingerabdrucklesern oder Irisscans.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

23 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago