Komplizierte Regeln für Passwörter: Was für ein Un$1nn!

Komplizierte Regeln für Passwörter: Was für ein Un$1nn!

, aktualisiert 12. August 2017, 12:58 Uhr
Bild vergrößern

Wissen Sie es noch? Viele Nutzer quälen sich mit komplizierten Passwörtern.

von Christof KerkmannQuelle:Handelsblatt Online

Es liegt nicht an Ihnen: Die Regeln für Passwörter sind viel zu kompliziert. Nutzer dürfen aber darauf hoffen, dass es bald ohne Sonderzeichen und Ziffern geht. Die Standards stehen vor einer wichtigen Änderung.

DüsseldorfDas Internet ist voller Karikaturen über Passwörter. Da ist der Griesgram, der einer Wahrsagerin eine Liste mit allen Websites unter die Nase hält, für die er seine Zugangsdaten vergessen hat, während sie forschend in die Glaskugel blickt. Oder der strahlende Mann, der seine Kollegin wissen lässt, dass niemand sein Passwort erraten kann, weil es so kompliziert ist. Worauf sie antwortet: Ich lese es einfach vom Post-It am Monitor ab.

Die Witze zielen alle auf eine Tatsache ab: Passwörter sind die Pest. Wir müssen uns viel zu viele merken, und häufig sind wir gezwungen, bei der Festlegung komplizierten Regeln einhalten. Sonst mahnt uns das Buchhaltungssystem oder der E-Mail-Dienst: Zu kurz, keine Sonderzeichen, keine Ziffern, schon mal vorher genutzt. Was für ein Ärg3rni$!

Anzeige

Doch Nutzer dürfen auf eine gewisse Erleichterung hoffen: Im Juni hat die einflussreiche US-amerikanische Standardisierungsorganisation NIST ihre Empfehlungen angepasst. Es ist eine Entscheidung mit Signalwirkung: „Die NIST-Regeln haben auch im deutschsprachigen Raum eine sehr große Bedeutung“, sagt Arno Wacker, Professor für angewandte Informationssicherheit an der Universität Kassel. Nun werde an der gängigen Empfehlung gerüttelt.

Die Regeln, über die sich viele Karikaturisten lustig machen, stammen aus einem Dokument, das der NIST-Mitarbeiter Bill Burr 2003 aufsetzte. Unter Zeitdruck und ohne empirische Daten, wie er jetzt dem „Wall Street Journal“ beichtete (kostenpflichtiger Artikel). „Am Ende war es vermutlich für viele zu kompliziert“, sagte er. „Vieles von dem, was ich getan habe, bedaure ich jetzt“, erklärte der 72-Jährige, der im Ruhestand ist.

Die gängigen Empfehlungen, basierend auf Burrs Regeln: Das Passwort sollte aus mindestens acht Zeichen bestehen und neben Buchstaben auch Ziffern und Sonderzeichen enthalten. Begriffe aus dem Wörterbuch sind dabei ebenso tabu wie Namen von Angehörigen oder Haustieren. Und am besten vergeben Nutzer alle paar Wochen oder Monate ein neues Passwort.

Das soll Hackern und Schnüfflern das Leben erschweren. Doch logisch ist nicht psychologisch. „Wenn Nutzer eine zufällige Sequenz aus mindestens acht oder besser noch zehn Zeichen bilden, ist das sehr sicher“, sagt zwar Passwort-Experte Arno Wacker im Gespräch mit dem Handelsblatt. Aber darunter leide die Benutzerfreundlichkeit: „Das kann sich kaum ein Mensch merken.“ Zumal, wenn diese Gedächtnisakrobatik alle 90 Tage aufs Neue ansteht.

Daher haben die komplizierten Regeln mehrere unerwünschte Konsequenzen. So basteln sich viele Nutzer Begriffe zusammen, in denen Ausrufezeichen oder Ziffern einzelne Buchstaben ersetzen, und ändern diese jedes Mal nur leicht. Der Sicherheit dient das nicht: Hacker haben Programme, die solche Muster kennen und durchprobieren – wie ein automatischer Dietrich.

Nun ist es durchaus sinnvoll, den Nutzern Vorgaben zu machen. Das zeigt sich an den beliebtesten Passwörtern – Forscher können diese ermitteln, indem sie Daten analysieren, die Hacker ins Netz stellen. Zum Beispiel nach den massiven Cyberangriffen auf den Internetriesen Yahoo, den Softwarehersteller Adobe oder den Seitensprungdienst Ashley Madison, bei denen in den vergangenen Jahren Millionen von Datensätzen an die Öffentlichkeit gelangten.

So verwenden viele Nutzer einfache Zahlenkombinationen und Begriffe, wie eine Auswertung des Hasso-Plattner-Instituts (HPI) in Potsdam zeigt. In den Top 10 deutschsprachiger Passwörter stehen „hallo“, „passwort“ und „schalke04“, außerdem „123456“ und „hallo123“. Weit oben stehen außerdem „arschloch“ und „ficken“. Hacker kennen diese Listen und schaffen es daher schnell, derartig nachlässige Absicherungen zu überwinden.


Einfache Wörter statt komplizierter Kombinationen

Doch wenn es zu kompliziert wird, dient das auch nicht der Sicherheit, wie der ehemalige NIST-Mitarbeiter Burr heute zugibt. Seine Nachfolger haben daher die Regeln angepasst. So erkennt die Organisation an, dass längere, aber einfach zu merkende Passphrasen mindestens genauso sicher sind wie kürzere, komplizierte Zeichenfolgen. Zumindest, wenn die enthaltenen Begriffe weitgehend zufällig ausgewählt sind. „correct horse battery staple“ (korrekt pferd batterie stapel) ist demnach sicherer als „Tr0ub4dor&3“, wie es die beliebte Comicreihe XKDC einmal ironisch auf den Punkt brachte.

IT-Sicherheitsexperte Wacker bestätigt das mit einer Überschlagsrechnung: Eine Phrase aus vier bis fünf einfachen Wörtern ermöglicht mehr Kombinationen als ein Wort aus acht Zeichen – und damit ist es für Kriminelle schwieriger, sie zu knacken, wenn sie denn weitgehend zufällig zusammengesetzt ist. „Für den Menschen ist es immer noch einfacher, sich so eine Abfolge zu merken, als ein komplexes Gebilde.“

Zudem hält die NIST nicht mehr daran fest, dass Passwörter nach einem bestimmten Zeitraum automatisch auslaufen. Die Online-Dienste und Softwareanbieter sollen eine Änderung nur noch dann erzwingen, wenn es ein Zeichen dafür gibt, dass sich jemand unerlaubt Zugriff auf die Daten verschaffen konnte.

Diese Position ist allerdings umstritten: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass es durchaus Argumente für ein Wechselintervall gebe. So bemerken Nutzer wie Firmen häufig nicht oder erst spät, dass sich Cyberkriminelle Zugriff auf die Daten verschafft haben. In der Zeit haben sie freie Bahn. Die IT-Spezialisten aus Bonn raten zur Differenzierung, abhängig vom „Schutzbedarf der jeweiligen IT-Systeme“.

Die neuen Erkenntnisse könnten bald auch deutschen Nutzern vermehrt zugutekommen. „Die IT-Verantwortlichen werden diese Meldung alle gelesen haben und intern Überlegungen anstellen, wie sie ihre eigenen Passwortrichtlinien verbessern können“, sagt Peter Meyer, der beim Verband der Internetwirtschaft Eco den Bereich IT-Sicherheitsservices leitet. Die Umsetzung sei allerdings nicht immer trivial, weil die Systeme angepasst werden müssten - bei einem Konzern mit Tausenden Mitarbeitern ist das nicht immer so einfach. Grundsätzlich sieht der Experte viele Unternehmen aber bereits auf einem guten Weg: Sie setzen etliche der neuen Empfehlungen bereits um.

Alle Probleme können die neuen Regeln indes nicht beheben. Denn weiterhin gilt die Empfehlung, für die verschiedenen Programme und Online-Dienste einzigartige Passwörter zu verwenden. Kein Wunder, dass sich mehr als ein Drittel der Internetnutzer davon überfordert fühlt, wie der Bitkom im vergangenen Jahr erhoben hat. IT-Sicherheitsexperte Wacker empfiehlt daher Passwortmanager, um einen Großteil der Zugangsdaten automatisch zu verwalten und das Gedächtnis zu entlasten. „Nur für die Dienste, die ich viel nutze, merke ich mir die Passphrasen“, erläutert der Experte. Der größte Gram lässt sich damit vermeiden.

Quelle:  Handelsblatt Online
Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%