Wir haben uns jahrelang mit viel zu komplizierten Passwörtern abgequält

Das Leben für Internet-Nutzer*innen wird ab jetzt leichter. Der Erfinder der komplizierten Richtlinien für sichere Passwörter bittet um Entschuldigung, er habe einen Fehler gemacht.

Verdammt, was war mein Passwort noch mal? © Pixabay / CC0

Ein Wort zwischen sechs und zwölf Buchstaben, mindestens ein Sonderzeichen, eine Zahl und ein Großbuchstabe. Am besten kein existierendes Wort, sondern eine willkürliche Zeichen-Reihenfolge, die sich niemand merken kann, allen voran du selbst nicht. Vielleicht 8KX!w3§j? Außerdem wäre es noch hilfreich, wenn du alle zwei Monate diese willkürliche Folge in eine andere willkürliche Folge änderst. fU©I<y0LJ!

Der Mensch, dem wir dieses mühsame Regelwerk zu verdanken haben, heißt Bill Burr. Danke Bill. Vor ungefähr 15 Jahren entsprang diese Lösung aus seinen Gehirnwindungen, weil er dachte, dass man so seine Online-Accounts am besten vor fremden Zugriffen schützen könne.

[Außerdem auf ze.tt: Von „Hallo“ bis „Ficken“: Das sind die Top 10 der meist genutzten Passwörter Deutschlands]

Wie sich nun herausstellte, sei das ein Fehler gewesen. Dafür entschuldigte sich der 72 Jahre alte Burr persönlich: „Ich bedauere vieles von dem, was ich getan habe. Ich hätte das seinerzeit besser machen können – und einige Erkenntnisse, die wir jetzt haben, schon damals herausfinden können“, sagte er dem Wall Street Journal.

Aus einem Fehler wird eine Kettenreaktion

Im Jahr 2003 war Burr Manager beim National Institute of Standards and Technology (NIST), einer US-Technologiebehörde, angestellt. Damals bekam er den relativ spontanen Auftrag, Behörden und großen Firmen Empfehlungen für Sicherheit von Passwörtern nennen. Das Problem war, dass er zu dieser Zeit nicht viel über die Sicherheit von Passwörtern wusste. Für seine Ratschläge, für die es damals kaum Empirie gab, entschuldigte er sich heute.

Diese Hinweise wurden schon bald zur Regel. Erst übernahmen sie die US-Behörden, dann Unternehmen und mit der Zeit alle IT-Abteilungen weltweit. Nachdem Burrs Nachfolger bei NIST, Paul Grassi, Millionen gehackter Passwörter ausgewertet hatte und neue Richtlinien veröffentlichte, räumte Burr seine falschen Empfehlungen ein: „Leider waren sie falsch. Es ist besser, ziemlich lange Passwörter zu nutzen: Sätze, die man sich leicht merken kann. Das ist besser als die komischen Sonderzeichen.“

[Außerdem auf ze.tt: Vertraust du deinen Partner*innen sämtliche Passwörter an?]

Auch das regelmäßige Wechseln der Passwörter würde den Schutz vor Cyberkriminellen nicht erhöhen. Mehrstellige Zeichenfolgen mit Sonderzeichen seien leichter zu knacken als lange Sätze, die sich die Nutzer*innen leicht merken können. Eine Textzeile aus seinem Lieblingslied, zum Beispiel Nenas „Hast du etwas Zeit für mich, dann singe ich ein Lied für dich“.

Grassi bestätigt: Die alten mehrstelligen Passwörter mit Sonderzeichen seien für böswillige Hacker einfach, für Nutzer aber kompliziert gewesen. „Lange Passwörter sind gut. Sätze sind gut. Und Leerzeichen sind gut. Einfach typische Worte und Sätze. Dagegen sind Sonderzeichen wie Ausrufezeichen oder der Klammeraffe unnötig.“

http://sorry

Burr ist nicht der einzige, der für gemachte Fehler in den Anfangszeiten des Internets um Verzeihung bat. Schon 2014 entschuldigte sich Ethan Zuckerman, der Erfinder von Pop-up-Werbungen, für seine grausame Idee. Genauso wie Tim Berners-Lee, der Erfinder von HTML und der Begründer des World Wide Web, der irgendwie auf die Idee kam, unbedingt zwei Schrägstriche vor Internetadressen setzen zu müssen.