Der CCC nimmt den „Ändere dein Passwort“-Tag zum Anlass, seine Abschaffung zu fordern.
Über die Jahre haben sich diverse Mythen über sichere Prozesse im Umgang mit Passwörtern entwickelt und festgesetzt. Besonders hartnäckig hält sich der Brauch, Nutzer*innen regelmäßig zur Passwortänderung zu zwingen. Doch wer sein Passwort ständig ändert, wählt einfache Kombinationen und neigt dazu, dasselbe Passwort für mehrere Zugänge zu verwenden. Damit muss Schluss sein.
Bei so einem einfachen und sinnvollen Satz wie im Beispiel verwirft man dann einen großen Nutzen wieder. Je regulärer die Sätze, desto eher wird er ausprobiert weil er öfter verwendet wird. Je regulärer, desto eher funktioniert maschinelles kombinieren von Wörtern zu Sätzen und ausprobieren dieser.
Noch effektiver ist Wörter zusammenzuführen die auf den ersten Blick keinen Sinn ergeben, zu denen man sich aber selbst eine Sinnbrücke/Geschichte ausdenken und merken kann. Sowas wie “sprechender Luftballon” macht keinen logischen Sinn in der Realität, ist kaum bis nie verwendet, aber ist etwas was man sich aber gut merken kann.
Das würde Voraussetzen, dass wir in den 90ern sind und noch Leute händisch Passwörter ausprobieren. Wenn überhaupt noch Brute-Force gemacht wird, werden Passwort oder normale Wortlisten genutzt, die dann automatisiert getestet werden. “sprechender Luftballon” wird da mit der selben Wahrscheinlichkeit getestet wie “kleiner Hund”. Auch L33T hilft dagegen nicht.