Im Jahr 2003 verfasste Bill Burr, damals Mitarbeiter der unter anderem für Technologiestandards zuständigen US-Behörde National Institute of Standards and Technology (NIST), einige Richtlinien für das Erstellen von Passwörtern. Darin waren nicht nur Vorschriften zur Nutzung bestimmter Zeichen enthalten, sondern auch die Empfehlung, Passwörter regelmäßig und in zeitlichen Abständen von 90 Tagen zu wechseln. Weltweit folgten viele Unternehmen dieser Empfehlung. So hielten die Richtlinien auch Einzug in deutsche Rechtsanwaltskanzleien.

Burr erstellte die Richtlinien, ohne eine ausreichende Grundlage an Fakten oder Forschung zu haben. Er begab sich damit gewissermaßen auf Neuland. In der Nachschau stellten sich seine Empfehlungen häufig als übertrieben und sogar gefährlich heraus. Heute bedauert er seine damaligen Empfehlungen.

Bei der Anwendung dieser Passwortrichtlinien zeigte sich nämlich, dass die Endanwender – durch die Richtlinie quartalsweise zu immer neuer Passwortkreativität gezwungen – selten so einfallsreich reagierten, wie Burr sich das erhofft hatte. Trotz oder gerade wegen der Verwendung von Sonderzeichen wurden Passwortsequenzen oft unsicher, denn im Lauf der Zeit stellte sich heraus, dass die Länge des Passwortes entscheidender für dessen Sicherheit war als die Verwendung von Sonderzeichen.

Auch der 90-tägige Wechsel des Passworts konnte das Problem nicht beheben. Vielmehr führte dieser relativ kurze Zeitraum dazu, dass die Endanwender tendenziell eher einfache Passwörter verwendeten, die sie sich leichter merken konnten. Dies bedeutete jedoch zugleich, dass die Codes bei Attacken leichter erraten werden konnten.

Daher hat das NIST in diesem Jahr neue Richtlinien für die Passwortsicherheit herausgegeben. An der Erstellung dieser Richtlinien war der inzwischen pensionierte Autor Bill Burr wieder maßgeblich beteiligt. Bill Burr hatte damit Gelegenheit, die in den vergangenen 14 Jahren seit Einführung der ursprünglichen Richtlinien gewonnenen Erkenntnisse und Erfahrungen in die neuen Empfehlungen einfließen zu lassen. Sinnvolle und leicht umzusetzende Hinweise für Passwörter finden Sie hier.