Informatik Experten raten von kompliziertem Passwort ab

Mindestens acht Zeichen, Gross- und Kleinbuchstaben, mindestens eine Ziffer und ein Sonderzeichen: Komplizierte Passwortregeln nerven viele Benutzer. Ginge es nach den Experten, sollten Passwortregeln weniger komplex sein. Sie wären dabei auch noch sicherer.

Der sogenannte Weisenrat für Cyber-Sicherheit in Deutschland setzt sich für eine Abkehr von komplizierten Vorgaben beim Anlegen von Passwörtern ein. «Es ist ein weit verbreiteter und verständlicher Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern», heisst es in dem Jahresbericht der sechs renommierten Professorinnen und Professoren aus dem Bereich Cyber-Sicherheit, der am Mittwoch in Bonn veröffentlicht wurde. Es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten.

Besonders wichtig sei, Passwörter nicht mehr mit einem Verfallsdatum zu versehen. «Es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmässig zu wechseln», sagte Matthew Smith, Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE. Ein Wechsel sei nur dann zu empfehlen, wenn es Anzeichen gebe, dass das Passwort ausgespäht oder auf anderem Wege kompromittiert worden sei.

Länge statt Komplexität

Smith sagte, das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) habe in seinen jüngsten Richtlinien bereits keine Vorgaben mehr zum Passwortalter gemacht. Das sei eine gute Entwicklung. Er forderte aber das BSI auf, den Behörden und Unternehmen einheitliche Vorgaben für die Passwort-Richtlinien zu machen. Dabei sollte sich das BSI an den Empfehlungen des Open Web Application Security Projects (OWASP) und US-amerikanischen National Institute of Standards and Technology (NIST) orientieren.

OWAPS und NIST verabschiedeten sich schon vor geraumer Zeit von den meisten der Einschränkungen bei der Passwortvergabe und räumen den Anwendern mehr Freiheiten bei der Wahl des Kennworts ein. Damit werden nicht mehr maximal komplizierte Konstruktionen aus Ziffern und Sonderzeichen verlangt, sondern längere Passphrasen.

Cyber-Weise analog zu Wirtschafts-Weisen

Der Weisenrat für Cyber-Sicherheit hat sich 2019 formiert und wird vom Cyber Security Cluster Bonn koordiniert. In dem Verein arbeiten Unternehmen wie Bechtle, Deutsche Telekom, IBM und Deutsche Post DHL mit wissenschaftlichen Einrichtungen wie verschiedenen Fraunhofer-Instituten sowie öffentlichen Stellen zusammen.

Ähnlich wie der Bericht der Wirtschaftsweisen, also der Bericht des Sachverständigenrats zur Begutachtung der gesamtwirtschaftlichen Entwicklung, will der Weisenrat für Cyber-Sicherheit jährlich einen Bericht vorlegen. Politik und Wirtschaft könnten die Berichte zur Orientierung nutzen.