Komplizierte Regeln für Passwörter
Was für ein Un$1nn!

  • 0

Einfache Wörter statt komplizierter Kombinationen

Doch wenn es zu kompliziert wird, dient das auch nicht der Sicherheit, wie der ehemalige NIST-Mitarbeiter Burr heute zugibt. Seine Nachfolger haben daher die Regeln angepasst. So erkennt die Organisation an, dass längere, aber einfach zu merkende Passphrasen mindestens genauso sicher sind wie kürzere, komplizierte Zeichenfolgen. Zumindest, wenn die enthaltenen Begriffe weitgehend zufällig ausgewählt sind. „correct horse battery staple“ (korrekt pferd batterie stapel) ist demnach sicherer als „Tr0ub4dor&3“, wie es die beliebte Comicreihe XKDC einmal ironisch auf den Punkt brachte.

IT-Sicherheitsexperte Wacker bestätigt das mit einer Überschlagsrechnung: Eine Phrase aus vier bis fünf einfachen Wörtern ermöglicht mehr Kombinationen als ein Wort aus acht Zeichen – und damit ist es für Kriminelle schwieriger, sie zu knacken, wenn sie denn weitgehend zufällig zusammengesetzt ist. „Für den Menschen ist es immer noch einfacher, sich so eine Abfolge zu merken, als ein komplexes Gebilde.“

Zudem hält die NIST nicht mehr daran fest, dass Passwörter nach einem bestimmten Zeitraum automatisch auslaufen. Die Online-Dienste und Softwareanbieter sollen eine Änderung nur noch dann erzwingen, wenn es ein Zeichen dafür gibt, dass sich jemand unerlaubt Zugriff auf die Daten verschaffen konnte.

Diese Position ist allerdings umstritten: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass es durchaus Argumente für ein Wechselintervall gebe. So bemerken Nutzer wie Firmen häufig nicht oder erst spät, dass sich Cyberkriminelle Zugriff auf die Daten verschafft haben. In der Zeit haben sie freie Bahn. Die IT-Spezialisten aus Bonn raten zur Differenzierung, abhängig vom „Schutzbedarf der jeweiligen IT-Systeme“.

Die neuen Erkenntnisse könnten bald auch deutschen Nutzern vermehrt zugutekommen. „Die IT-Verantwortlichen werden diese Meldung alle gelesen haben und intern Überlegungen anstellen, wie sie ihre eigenen Passwortrichtlinien verbessern können“, sagt Peter Meyer, der beim Verband der Internetwirtschaft Eco den Bereich IT-Sicherheitsservices leitet. Die Umsetzung sei allerdings nicht immer trivial, weil die Systeme angepasst werden müssten - bei einem Konzern mit Tausenden Mitarbeitern ist das nicht immer so einfach. Grundsätzlich sieht der Experte viele Unternehmen aber bereits auf einem guten Weg: Sie setzen etliche der neuen Empfehlungen bereits um.

Alle Probleme können die neuen Regeln indes nicht beheben. Denn weiterhin gilt die Empfehlung, für die verschiedenen Programme und Online-Dienste einzigartige Passwörter zu verwenden. Kein Wunder, dass sich mehr als ein Drittel der Internetnutzer davon überfordert fühlt, wie der Bitkom im vergangenen Jahr erhoben hat. IT-Sicherheitsexperte Wacker empfiehlt daher Passwortmanager, um einen Großteil der Zugangsdaten automatisch zu verwalten und das Gedächtnis zu entlasten. „Nur für die Dienste, die ich viel nutze, merke ich mir die Passphrasen“, erläutert der Experte. Der größte Gram lässt sich damit vermeiden.

Seite 1:

Was für ein Un$1nn!

Seite 2:

Einfache Wörter statt komplizierter Kombinationen

Kommentare zu " Komplizierte Regeln für Passwörter: Was für ein Un$1nn!"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%