Weisenrat für Cybersicherheit will keine starken Passwörter mehr
Wie wirksam starke Passwörter wirklich sind, ist schon länger umstritten. Der Weisenrat für Cybersicherheit in Deutschland hat sich nun ebenfalls gegen strikte Regeln ausgesprochen. Diese würden die Sicherheit nicht erhöhen, sondern sie manchmal sogar verringern.
Eine zufällige Anordnung von Buchstaben – keine erkennbaren Wörter. Dazwischen möglichst willkürlich gesprengt ein paar Sonderzeichen – je unüblicher desto besser. Und das alles mindestens einmal pro Halbjahr ändern. So etwa lautet das Grundrezept für ein sogenanntes "starkes Passwort".
Aber so stark sind diese Passwörter gar nicht. Mitunter können sie die Sicherheit eines Systems sogar gefährden. Das hat auch schon Bill Burr vor fast drei Jahren gesagt. Und Burr muss es ja wissen, schliesslich sind diese Regeln auf seinem Mist gewachsen.
Burr, der Vater des starken Passworts, arbeitete vor 15 Jahren für das National Institut of Standards and Technology (NIST) und verfasste dort Regeln für Regierungsangestellte, um die Sicherheit zu erhöhen. Heute bereue er dies, sagte er 2017 zu den Medien. Diese Regeln frustrieren doch jeden – auch ihn selbst. Sie machen den Nutzern das Leben schwer, den Hackern jedoch leichter.
Mehr zu Burrs Kritik an seinen eigenen Regeln für starke Passwörter finden Sie hier.
Weisenrat will keine Passwörter mit Verfallsdatum
Nun hat sich auch der sogenannte Weisenrat für Cybersicherheit von Deutschland auf diese Seite gestellt, wie heise.de berichtet. Der Weisenrat wurde 2019 formiert. Darin arbeiten Unternehmen wie Bechtle, Deutsche Telekom, IBM und Deutsche Post DHL mit wissenschaftlichen Einrichtungen wie verschiedenen Fraunhofer-Instituten sowie öffentlichen Stellen zusammen, wie es im Bericht heisst.
Das Ziel ist es, jährlich einen Bericht vorzulegen. Im aktuellen Jahresbericht hält der Rat fest, dass die Qualität der Passwörter nicht durch strengere Richtlinien gesteigert wird. Stattdessen gebe es Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter sogar verschlechtern könnten.
Insbesondere die Vorschrift, das Passwort häufig zu wechseln, sei problematisch. "Es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmässig zu wechseln", zitiert der Bericht Matthew Smith, Ratsmitglied und Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE. Stattdessen solle man nur dann das Passwort wechseln, wenn man davon ausgehen muss, dass es in fremde Hände gelangt ist. Der Rat schlägt vor, sich an die Richtlinien von OWAPS und NIST zu halten.
Der Nachfolger von Bill Burr beim NIST, Paul Grassi, hat als Burr-Kritik aufkam nämlich schon andere Passwortregeln propagiert. Sonderzeichen etwa seien unnötig. Stattdessen solle man möglichst lange Passwortphrasen bilden. Ganze Sätze, die man sich leicht merken kann. So seien die Passwörter deutlich schwieriger zu knacken als kurze, die dafür Sonderzeichen enthalten.
Den vollständigen Jahresbericht des Weisenrats für Cybersicherheit kann man hier als PDF herunterladen. Darin behandelt der Rat auch Themen wie Verschlüsselung im Zeitalter von Quantencomputern und Smart Citys.