Neue Policy: Bisher gilt ja für Passworte die Philosophie, dass sie möglichst komplex sein sollten, mit Groß- und Kleinbuchstaben, mit Sonderzeichen und Zahlen versehen – und man sie alle naslang ändern sollte. Das geht auf Kosten der Merkbarkeit. Nun verfolgt in den USA das National Institute of Standards and Technology (NIST) einen neuen Ansatz: Demnach würde es die Sicherheit erhöhen, wenn man die Anwender besser ein zwar langes, aber nicht so komplexes Passwort benutzen ließe, das sie sich auch leichter merken könnten. An die derzeit geforderten Standards würden sich nur wenige Anwender richten, weswegen Passworte wie “password” oder “12345” weltweit die populärsten sind. Diese sind einerseits leicht zu erraten und andererseits mit Brute-Force-Methoden sehr schnell geknackt. Doch könnte laut NIST ein Passwort “MeinPasswortwirdkeinersoschnellerratendernichtdiesenTextkennt” ebenso sicher sein wie etwa “9dc&8H!Q_5d” – aber wesentlich einfacher zu merken. Im Gegensatz würden heute die Routinen, die auf Websites sagen, wie sicher ein Passwort sei in die Irre führen können. “rutabaga” ist natürlich unsicher, aber “Rutabaga1!” kaum besser, da per Brute Force nur wenige Iterationen entfernt. Konkret empfiehlt die NIST Passwortlängen von 8 bis 64 Zeichen, einen Check gegen geleakte und häufig benutzte Passworte, den weitgehenden Verzicht auf ein Ablaufdatum und Hinweise auf das Passwort. Dazu sollten Anwender beim Eintippen des Passwortes das auf Wunsch auch sehen können.
Autor: Peter Müller, Stellv. Chefredakteur
Peter Müller ist seit 1998 bei der Macwelt und schreibt über alles, was einen Apfel drauf hat – oder wo Apple drin ist.