Vergiss die alten Passwortregeln

"Vieles von dem, was ich getan habe, bereue ich": Der Verfasser des Gold-Standards der Passwortregeln hat eingestanden, Fehler gemacht zu haben – und räumt ein, dass die von ihm aufgestellten Regeln, die uns seit einem Jahrzehnt nerven, ziemlicher Quatsch sind.

2003 stellte der heute 72-jährige Bürokrat Burr die von uns allen verinnerlichten Regeln für das National Institute for Standards and Technology (NIST) auf: Mindestens eine Zahl, mindestens ein Sonderzeichen und ab und zu einfach mal ein neues Passwort.

"Die Wahrheit ist: Da habe ich aufs falsche Pferd gesetzt", gibt sich Bill Burr im Interview mit dem Wall Street Journal (WSJ) 14 Jahre später zerknirscht. Bei der NIST handelt es sich um eine Art Standardisierungsbehörde, an deren Empfehlungen sich unter anderem sämtliche offizielle US-Websites und Dienste halten. Entsprechend großen Einfluss hatten sie auch auf andere Teile des Internets. "Am Ende waren die Richtlinien wahrscheinlich zu kompliziert, um von vielen verstanden zu werden", räumt Burr nun ein.

Im Juni dieses Jahres wurde der Standard überarbeitet und unter dem sexy Namen "Special Publication 800-63-3: Digital Authentication Guidelines" komplett neu geschrieben. Und tatsächlich mussten die Verfasser laut WSJ wieder "fast ganz von vorn" beginnen.

Die schlechte Nachricht ist: Viele der Regeln, die wir so verinnerlicht haben, sind tatsächlich überholt oder sogar widersinnig. Die gute Nachricht: Mit den neuen Richtlinien wird es in Zukunft viel leichter für uns alle, sich ein sicheres Passwort zu erstellen, ohne übermenschliche Gedächtnisleistungen zu liefern. Doch nicht alle von Burrs Grundsätzen sind per se Quatsch – hier ein wenig Hintergrund.

Tatsächlich sollte man niemals ein Wort aus dem Wörterbuch einfach in Form des Informatiker-Slangs L33tsp34k (das Ersetzen von Buchstaben durch ähnlich aussehende Ziffern) schreiben – ein Computer kann die Zahlen rasend schnell wieder durch Buchstaben ersetzen. Der Hacker Matthias Ungethuem hält im Gespräch mit Motherboard davon auch nichts. Er rechnet vor, dass eine 300-Euro Grafikkarte schon mehrere Milliarden Kombinationen pro Sekunde erraten kann.

Ganz so wahrscheinlich ist dieses Szenario allerdings nicht. Dieser Richtwert gilt nur für Offline-Hashes, also zum Beispiel bei einem verschlüsselten Word-Dokument oder einer geklauten Passwort-Datenbank.

Websites können Anfragen nicht annähernd so schnell verarbeiten und haben häufig auch einen eingebauten Brute Force-Schutz vor zu vielen Versuchen, das Passwort zu erraten. Daher gelten heute lange, wahllose Wortkombinationen oft sicherer als selbst ausgedachte Zahlen-Wort-Kombinationen. Bei sehr optimistisch berechneten 1000 Versuchen pro Sekunde bräuchte ein Angreifer für die aus vier Wörtern zusammengesetzte Phrase "correctbatteryhorsestaple" 550 Jahre zum Erraten. So eine Phrase muss man sich nur kurz bildlich vorstellen, wie es der Webcomic XKCD getan hat – schon hat man sie im Gehirn abgespeichert.

Natürlich würde man die Chancen des Angreifers noch weiter verringern, wenn man jetzt noch wahllose Großbuchstaben mitten in die Wörter haut. Wichtig ist dabei, dass keine nachvollziehbare Logik entsteht, "denn darin sind uns Maschinen weit überlegen", erklärt Ungethuem.

Doch daraus zu schließen, alle etablierten Passwort-Regeln seien totaler Blödsinn, und wir hätten uns all die Jahre umsonst abgemüht, trifft den Kern der Sache nicht.

Denn Großbuchstaben, die ganze Bandbreite an Sonderzeichen und Zahlen sind durchaus sinnvoll, um das Passwort sicherer zu machen – aber sie dürfen eben nicht erwartbar verwendet werden. Johannes123? ist und bleibt KEIN gutes Passwort. Wenn uns Websites zwingen, bei einem "zu schwachen" Passwort noch schnell ein Sonderzeichen und eine Zahl einzubauen, ist es verlockend, genau in solche Muster zu verfallen und dem Angreifer leichtes Spiel zu machen.

Ungethuem empfiehlt für ein bombensicheres Passwort mindestens 16 (Sonder-)Zeichen, keine zentrale Verwaltung in einem Passwort-Manager und keine Bedeutung hinter der gewählten Kombination. Ein guter Rat. Aber ein Problem bleibt: Kein Mensch kann sich Passwörter wie Ir$b5&^!c["X?-9G% merken – schon gar nicht, wenn man sich für jeden Webdienst ein anderes Passwort ausdenken soll – und das empfehlen Sicherheitsexperten dringend. Genau an dieser Stelle setzen die neuen NIST-Regeln an – und finden einen Kompromiss in der ständigen Abwägung zwischen bombenfester Sicherheit und Anwendbarkeit.

Die wichtigste Neuerung folgt beinahe schon einem philosophischen Ansatz: Passwortregeln sollten unbedingt benutzerfreundlich sein. Statt Zwängen und Regeln für's Passwort-Erstellen wird der Fokus in Zukunft eher darauf gelegt, die Websites oder Dienste beim Login in die Pflicht zu nehmen – und das sind für den Nutzer in der Praxis richtig gute Nachrichten:

• Schlechte Passwort-Ideen der Nutzer sollen ab sofort mit einem Wörterbuch aus bekannten, schwachen Passwörtern abgeglichen werden, um sie beispielsweise darauf hinzuweisen, dass hallohallohallo nicht geeignet ist, um einen Account zu schützen.
• Die maximale Länge der Passwörter wird auf 64 Zeichen erhöht, um dem Nutzer die Möglichkeit zu geben, sich eine leicht zu merkende Passphrase auszudenken. Eine so lange Phrase würde auch die Angriffsmöglichkeit mit einer Wortliste erheblich verringern, vor der Ungethuem warnt.
• Alle druckbaren ASCII-Zeichen und Unicode-Zeichen müssen erlaubt sein, das schließt auch Leerzeichen und sogar Emoji mit ein.
• Websites sollen keine "illusorische Komplexität" erzeugen durch den Zwang, Groß- und Kleinschreibung und Sonderzeichen zu benutzen: "Wenn der Nutzer nicht mehr klarkommt, dann schummelt er", heißt es in einer NIST-Präsentation auf der PassWord Con 2017 in Las Vegas. Das Ergebnis sind leicht zu merkende und vom Rechner genauso leicht zu erratende Passwörter wie !s0nn3&m0nd! Und 2000meinpasswort2000.
• Nutzer sollten sich nicht dazu hinreißen lassen, sich von einer Loginseite Hinweise auf ihr Passwort geben zu lassen – und Websites müssen in Zukunft die Funktion gleich deaktivieren. Der Grund liegt auf der Hand: Menschen sind nicht sehr kreativ, wenn sie sich diese Tipps selbst schreiben sollen, und der Yahoo!-Breach 2013 hat gezeigt, dass man kein Hackerguru sein muss, um sich die Antwort auf "rhymes with assword" auszudenken.
• Niemand darf mehr gezwungen werden, ein Passwort nach einer bestimmten Zeit zu ändern. Ausnahmen: Das Passwort wurde vergessen und muss zurückgesetzt werden, die Seite wurde gehackt und dabei die Passwort-Datenbank erbeutet oder der User ist das Opfer einer Phishing-Attacke geworden.

Zwar dürfte es noch eine ganze Weile dauern, bis sich die neuen Regeln flächendeckend durchsetzen – doch es ist ein Schritt in die richtige Richtung. Die größten US-Handelsverbände haben die Neuerungen bereits gelobt und angekündigt, sie beim Online-Handel umzusetzen.

Und auch wenn Bill Burr im Interview arg zerknirscht wirkt, hat er doch mit seiner Richtlinie ein Regelwerk für die digitale Welt geschaffen, dessen wichtigsten Inhalt jeder Internetnutzer im Schlaf herunterbeten kann – und damit ein Stück (überholte) Zeitgeschichte.

Das sieht übrigens auch der Autor der neuen NIST-Richtlinen so, der für Burr in die Bresche springt: "Er hat ein sicherheitsrelevantes Dokument geschrieben, das sich zehn bis 15 Jahre lang gehalten hat. Ich kann nur hoffen, dass mal ein Schreiben so lange gilt, das ich verfasse" – so klingen also Bürokratenträume.

Und wo wir schon beim Thema Anwenderfreundlichkeit sind: Wer gerade keine Zeit hat, um sich durch die 65 Seiten des NIST-Standards zu arbeiten, dem sei eine auf Stichpunkte herunter gedampfte Präsentation von NIST-Mitarbeiter Jim Heston empfohlen, in der er die wichtigsten Änderungen zusammenfasst.