Wer ein Passwort für einen Dienst im Internet eingeben soll, ist sicher schon einmal über strenge Passwortregeln gestolpert. Diese verlangen häufig, dass Groß- und Kleinbuchstaben sowie Ziffern oder Sonderzeichen in einem Passwort enthalten sein müssen. Wenn es jedoch nach dem „Weisenrat für Cyber-Sicherheit“ in Deutschland geht, sollen solche Regeln bald der Vergangenheit angehören.
Der Jahresbericht der sechs renommierten Wissenschaftler, aus denen sich dieser Rat zusammensetzt, enthält einige Passagen rund um das Thema Passwortregeln. „Es ist ein weit verbreiteter und verständlicher Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern“, heißt es in dem Bericht. Zudem gebe es sogar Situationen, in denen die Qualität von Passwörtern durch strengere Regeln verschlechtert wird.
Ein weiterer Aspekt liegt den Forscherinnen und Forschern ebenfalls am Herzen: Passwörter sollten auf keinen Fall mit einem Verfallsdatum versehen werden. Aus der Sicht der Nutzer sei es nämlich viel wichtiger, das gleiche Passwort für unterschiedliche Dienste zu verwenden. Geändert werden sollte ein Passwort erst dann, wenn dieses möglicherweise kompromittiert wurde. Das kann zum Beispiel durch Malware auf dem eigenen Computer oder durch eine Sicherheitslücke beim jeweiligen Anbieter passieren.
In den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde dieser Aspekt bereits umgesetzt. Dort finden sich nämlich keine Vorgaben zum Alter von Passwörtern mehr. Allerdings fordert der Weisenrat vom BSI noch ein wenig mehr Initiative. Unter anderem soll es einheitliche Vorgaben für Unternehmen und Behörden geben, bei denen Nutzer Passwörter vergeben. Beispiele dafür liefern unter anderem das National Institute of Standards and Technology in den USA oder das Open Web Application Security Project.
Neben den Passagen rund um Passwortregeln gibt es im Jahresbericht des Weisenrats für Cyber-Sicherheit noch eine ganze Reihe weiterer interessanter Punkte. Der komplette Bericht steht auf dieser Website zum kostenlosen Download bereit.
Obwohl es den Weisenrat erst seit dem Jahr 2019 gibt, hat er bereits für viele Schlagzeilen gesorgt. Er wird vom Cyber Security Cluster Bonn koordiniert, in dem Unternehmen mit wissenschaftlichen Einrichtungen und öffentlichen Stellen zusammenarbeiten. Auch in den kommenden Jahren sollen weitere Berichte vorgelegt werden. Diese sollen Wirtschaft und Politik als wichtige Orientierung rund um dieses Thema dienen.