Bill Burr hat Schuld auf sich geladen. Er ist verantwortlich für sehr viel Wut, gestohlene Zeit und Flüche, die Menschen vor ihren Computern ausgestossen haben. Der heute 72-Jährige hat die Vorgaben für Passwörter verfasst, die mehr als ein Jahrzehnt als Nonplusultra galten – dabei machten sie Computernutzer oft kein Stück sicherer, kosteten sie dafür aber Nerven.

Der heute 72-Jährige arbeitete beim National Institute of Standards and Technology, einer US-Behörde, die unter anderem für Technologiestandards zuständig ist. 2003 verfasste er dort das achtseitige Dokument «NIST Special Publication 800-63. Appendix A». Es enthält Empfehlungen, zu welcher Art Passwörter Behörden, Unternehmen und Webseitenbetreiber ihre Nutzer und Mitarbeiter zwingen sollen. Der Text wurde zum Kanon, weltweit richteten sich viele Organisationen danach. Und die Nutzer ärgerten sich.

Heute ist Burr in Rente. Dem «Wall Street Journal» sagte er nun zu seinen Empfehlungen: «Vieles von dem, was ich getan habe, bereue ich.» In diesem Sommer überarbeitete das NIST seine Empfehlungenkomplett. Im Gegensatz zu Burr stützten sich die Verantwortlichen nun auf grosse Mengen an Daten, aus denen sie Tipps für schwer zu knackende Passwörter destillierten. Paul Grassi, der die Überarbeitung zwei Jahre lang leitete, sagte dem Journal, am Anfang sei sein Team davon ausgegangen, das Dokument nur leicht überarbeiten zu müssen, aber: «Am Ende mussten wir es komplett neu aufsetzen.»

Falsche Praxis der Unternehmen

Besonders zwei von Burrs Empfehlungen, die das NIST nun gestrichen hat, trieben viele Menschen an den Rand des Wahnsinns: Nun ist offiziell, dass es weder besonders sinnvoll ist, viele Sonderzeichen zu verwenden, noch sein Passwort alle 90 Tage zu ändern. Dazu zwingen manche Unternehmen ihre Mitarbeiter, was bei denen ungefähr so beliebt ist wie ein Stau beim Pendeln. Microsoft-Analyst Cormac Herley schätzte schon vor Jahren, dass die ständige Umstellung der Passwörter Unternehmen mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll.

Burrs Vorgabe, nicht nur kleine und grosse Buchstaben, sondern auch eine Nummer und ein Sonderzeichen in Passwörtern zu verwenden, brachte oft ebenfalls nicht den gewünschten Effekt. Nutzer variierten einfach nur einen Begriff, machten etwa aus "Passwort»: «Pa$$w0rt1!!» – was Algorithmen leicht erraten können. Besser ist es, aus «mehreren Worten ein möglichst langes Passwort (zum Beispiel einen ganzen Satz) zu erstellen – ganz ohne absurd wirkende Schreibweise oder Sonderzeichen.

Burrs Problem 2003 war zum einen, dass er unter Zeitdruck stand. Zum anderen wusste damals niemand genau, wie man Passwörter wirklich sicherer macht. Burr sagte dem Journal, er habe sich vor allem auf ein Paper aus den 90er-Jahren gestützt, einer Zeit, in der nur wenige Menschen überhaupt Computerpasswörter benutzten. Seine Nachfolger konnten bei der Überarbeitung unter anderem Abermillionen von Passwörtern auswerten, die Hacker in den vergangenen Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. So lernten sie viel darüber, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker mit gängigen digitalen Werkzeugen zu knacken sind.

Heute sagt Burr: «Am Ende war es wohl für viele Leute zu kompliziert, um es wirklich gut zu verstehen, und die Wahrheit ist: Ich war auf dem falschen Dampfer.»

«Süddeutsche Zeitung»