Sonderzeichen, Zahlen, Großbuchstaben und alle 90 Tage müssen wir unsere Passwörter ändern. Der Erfinder dieser Passwortregeln bereut heute seine eigene Schöpfung.

Vor etwa 15 Jahren hat sich der Informatiker Bill Burr hingesetzt und seine Passwort-Regeln für US-Behörden entwickelt. Die waren so erfolgreich und überzeugend, dass sie heute in fast allen Ämtern und Unternehmen benutzt werden. Auch in Deutschland. Und allein der Name dieser acht Seiten gibt ein hübsches Passwort ab: NIST Special Publication 800-63. Appendix A.

Bill Burr ist schuld an der Passwort-Hölle

Bill Burrs Regeln sind zum Standard geworden. Das Papier rät Usern dazu, sich komische neue Wörter mit möglichst obskuren Zeichen auszudenken, mit Großbuchstaben und Zahlen und das ganze regelmäßig zu ändern. Und darum heißt es auch bei uns im Job: "Ändern Sie ihr Passwort!"

Die Sache ist aber die: Heute wissen wir, dass seine Tipps relativ sinnlos sind.

"Das meiste von dem, was ich getan habe, bereue ich jetzt."
Bill Burr, Passwort-Guru

Als sich Bill Burr seine Regeln 2003 ausgedacht hat, lagen ihm überhaupt keine Daten über Passwortsicherheit vor. Seine einzigen Informationen stammten aus einem Paper aus dem Jahr 1980, also aus der tiefsten Internetsteinzeit. Trotzdem halten wir uns seit Jahren an Regeln, die komplett überholt sind, und machen aus unserem Passwort "Schatz32" eben "Schatz33" oder aus "Hallo1234" entsteht dann halt "Hallo12345".

Externer Inhalt

Hier geht es zu einem externen Inhalt eines Anbieters wie Twitter, Facebook, Instagram o.ä. Wenn Ihr diesen Inhalt ladet, werden personenbezogene Daten an diese Plattform und eventuell weitere Dritte übertragen. Mehr Informationen findet Ihr in unseren  Datenschutzbestimmungen.

"Es macht die Leute einfach nur verrückt, und sie wählen sowieso keine guten Passwörter", stellt Bill Burr  fest. Denn das sind nun mal laut Hasso-Plattner-Institut die beliebtesten Passwörter in Deutschland:

  1. hallo
  2. passwort
  3. hallo123
  4. schalke04
  5. passwort1
  6. qwertz
  7. arschloch
  8. schatz
  9. hallo1
  10. ficken

Anders gesagt: Die taugen alle nichts. Auch nicht die Passwörter mit Zahlen drin.

Was besser ist, hat der Webcomic xkcd schon aufgedröselt.

"Heute wissen wir, dass eine Folge von vier zufällig gewählten Wörtern wie zum Beispiel 'richtig pferd batterie Stapel' sicherer ist als "Tr0ub4dor&3'."
Martina Schulte, Deutschlandfunk Nova

Aber die Regeln haben kürzlich eine kleine Revolution erfahren: Der Nachfolger von Bill Burr hat den Leitfaden überarbeitet und er hat die 90-Tage-Regel ebenso fallen gelassen wie die Sonderzeichen. "Das komplexe Ding mit den Sonderzeichen wird nach drei Tagen aufgebrochen", erklärt unsere Reporterin Martina Schulte. "Die vier willkürlichen Wörter halten dir einen Hacker, der reguläre Tools anwendet, 550 Jahre vom Hals."

Shownotes
IT-Sicherheit
Unsere Passwort-Regeln taugen nichts
vom 10. August 2017
Moderatorin: 
Diane Hielscher
Gesprächspartnerin: 
Martina Schulte, Deutschlandfunk Nova