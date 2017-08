Es liegt nicht an Ihnen: Die Regeln für Passwörter sind viel zu kompliziert. Nutzer dürfen aber darauf hoffen, dass es bald ohne Sonderzeichen und Ziffern geht. Die Standards stehen vor einer wichtigen Änderung.

Das Internet ist voller Karikaturen über Passwörter. Da ist der Griesgram, der einer Wahrsagerin eine Liste mit allen Websites unter die Nase hält, für die er seine Zugangsdaten vergessen hat, während sie forschend in die Glaskugel blickt. Oder der strahlende Mann, der seine Kollegin wissen lässt, dass niemand sein Passwort erraten kann, weil es so kompliziert ist. Worauf sie antwortet: Ich lese es einfach vom Post-It am Monitor ab.

Die Witze zielen alle auf eine Tatsache ab: Passwörter sind die Pest. Wir müssen uns viel zu viele merken, und häufig sind wir gezwungen, bei der Festlegung komplizierten Regeln einhalten. Sonst mahnt uns das Buchhaltungssystem oder der E-Mail-Dienst: Zu kurz, keine Sonderzeichen, keine Ziffern, schon mal vorher genutzt. Was für ein Ärg3rni$!

Doch Nutzer dürfen auf eine gewisse Erleichterung hoffen: Im Juni hat die einflussreiche US-amerikanische Standardisierungsorganisation NIST ihre Empfehlungen angepasst. Es ist eine Entscheidung mit Signalwirkung: "Die NIST-Regeln haben auch im deutschsprachigen Raum eine sehr große Bedeutung", sagt Arno Wacker, Professor für angewandte Informationssicherheit an der Universität Kassel. Nun werde an der gängigen Empfehlung gerüttelt.

Die Regeln, über die sich viele Karikaturisten lustig machen, stammen aus einem Dokument, das der NIST-Mitarbeiter Bill Burr 2003 aufsetzte. Unter Zeitdruck und ohne empirische Daten, wie er jetzt dem "Wall Street Journal" beichtete (kostenpflichtiger Artikel). "Am Ende war es vermutlich für viele zu kompliziert", sagte er. "Vieles von dem, was ich getan habe, bedaure ich jetzt", erklärte der 72-Jährige, der im Ruhestand ist.

Die gängigen Empfehlungen, basierend auf Burrs Regeln: Das Passwort sollte aus mindestens acht Zeichen bestehen und neben Buchstaben auch Ziffern und Sonderzeichen enthalten. Begriffe aus dem Wörterbuch sind dabei ebenso tabu wie Namen von Angehörigen oder Haustieren. Und am besten vergeben Nutzer alle paar Wochen oder Monate ein neues Passwort.

Das soll Hackern und Schnüfflern das Leben erschweren. Doch logisch ist nicht psychologisch. "Wenn ...

