Bill Burr, der Mann, der sich die Passwortempfehlungen ausgedacht, an die wir alle geglaubt haben

Was zur Hölle… ist denn nun ein sicheres Passwort?

Er habe damals unter erheblichem Zeitdruck gestanden, beichtet Bill Burr, weil er die „Passwort-Bibel“ termingerecht fertigzustellen hatte. Die ist dann im Jahr 2003 als Dokument „NIST Special Publication 800-63. Appendix A“ des National Institute of Standards and Technology herausgekommen und hat unser aller Leben verändert. Wirklich? Ja, denn versuchen wir alle nicht seit Jahren sichere Passwörter zu erfinden, in denen Großbuchstaben, Sonderzeichen und Ziffern vorkommen? Quälen wir uns nicht (fast) alle damit herum, ständig neue Passwörter nach diesem Prinzip auszudenken? Und jetzt kommt dieser Bill Burr nach seiner Pensionierung her und gesteht in einem Interview mit dem Wall Street Journal, dass er sich das alles nur ausgedacht hat.

CommitStrip.com - gefunden auf  www.neatorama.com
CommitStrip.com – gefunden auf www.neatorama.com
Schlimmer noch: Es sei nicht ratsam, ständig neue Passwörter zu verwenden – zumal die meisten Leute dazu neigen, einfach eine andere Ziffer als letztes Zeichen anzugeben. So wird aus Digi_Sau,rier7 eben Digi_Sau,rier8 – und, schwupps, haben es Späh-Bots leicht, auch das neue Passwort aufzuschnappen.

Nun sind solche durchs Web kriechende Bösewichte schon schlau, aber wissen doch viel, viel weniger als beinahe jeder menschliche Internet-User. Also empfiehlt Burr heute, zum Beispiel Passwörter aus leicht zu merkenden Sinnsprüchen zu generieren. Da eignen sich beispielsweise alte Werbesprüche wie „Wer es kennt, nimmt Kukident“. Daraus würde dann Wek,nK. Und weil in den meisten Fällen Passwörter mit weniger als acht Zeichen zurückgewiesen werden, setzt man einfach die Jahreszahl voran, aus dem dieser Spruch stammt: 57Wek,nK.

Nimm deinen Lieblingssong

Natürlich geht es auch mit einer Zeile aus dem persönlichen Lieblingssong. Beispiel: ATwdwmsU = „An Tagen wie diesen wünscht man sich Unendlichkeit“. Oder für Belesene: ANwesk.DBiUdSweudSkwS = „Anfang November wurde es sehr kalt. Die Berge im Umkreis der Schule wurden eisgrau und der See kalt wie Stahl“; das sind die erste beiden Sätze von Kapitel 11 von „Harry Potter und der Stein der Weisen“. Zu lang?

Damit kommen wir zur zweiten Empfehlung des Herrn Burr: Verwendet Passwort-Manager! Die Idee ist noch gar nicht so alt und wurde erstmals von Mozilla im Webbrowser Firefox und dem Mailprogramm Thunderbird realisiert. Alle Passwörter, die man auf den unterschiedlichsten Websites und bei den verschiedenen Mailaccounts nutzt, werden quasi in einem „Safe“ gespeichert, für den es einen Schlüssel gibt: das universelle Passwort.

Verwende einen Passwort-Safe

Password Safe - ein universeller Passwortmanager
Password Safe – ein universeller Passwortmanager
Über diese Funktion verfügen heutzutage alle Browser auf die eine oder andere Art. Und weil ja inzwischen auch sehr, sehr viele Angebote im Netz einen Passwortgenerator anbieten, kann man sich von diesen Maschinchen Passwörter bauen lassen, die sich kein Mensch merken und die kein Bot ausspähen kann.

Oft haben diese generierten Passwörter zwölf, 16 und mehr Zeichen, die nach dem Zufallsprinzip zusammengewürfelt sind (und – nebenbei bemerkt – immer noch Bill Burrs alte Regeln beherzigen). Speichert man ein solches Passwort im „Safe“, muss man es sich nicht merken. Denn abgefragt wird beim Login-Versuch immer nur das Generalpasswort, auf dessen Auswahl und Zusammensetzung man wirklich Zeit verwenden sollte.

Wähle vollständige Sätze

JPasswortGenerator - baut komplexe Passwörter nach Wunsch
JPasswortGenerator – baut komplexe Passwörter nach Wunsch
Manche IT-Security-Experten gehen weiter und plädieren für extreme lange Passwörter von mindestens 32, besser noch 64 Zeichen Länge. Auch wenn das Eintippen im Fall des Falles lästig lange dauern wird – so kann man vollständige Sätze als Passwort verwenden, die sich noch einfacher merken lassen als die beschriebenen Abkürzungen. Das oben erwähnte Zitat aus dem Toten-Hosen-Song kommt auf immerhin rund 40 Zeichen.

Während aber Bill Burr meint, Sonderzeichen und Ziffern zu verwenden, bringe nichts, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterhin, die Passwörter dadurch noch komplexer zu machen.

Beherzigen wir die Ratschläge des pensionierten Bill Burr, denen auch sein Ex-Arbeitgeber und das BSI weitgehend folgen, können wir alle viel Zeit sparen und die Aufforderungen, ein neues Passwort zu verwenden, getrost ignorieren. Und so richtig böse können wir dem Mann, der sich eher als programmierender Kryptologe denn als Verfasser von Publikationen verstanden hat, am Ende auch nicht.

Comments

comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.