Zwang zu neuen Passwörtern soll Bewusstsein schaffen

Bei der Registrierung auf einer Webseite mit einem unsicheren Passwort wird der Nutzer darauf hingewiesen, dass dieses in drei Tagen abläuft und er es danach ändern muss. Ist das Passwort stark genug, steht eine Änderung erst in drei Monaten an. Dieses System wird von Lance James vorgeschlagen, dem IT-Sicherheits-Chef des Wirtschaftsberatungs-Unternehmens Deloitte. Er nennt es "Pawlowsches Passwort-Management".

Wie der berühmte Pawlowsche Hund sollen Menschen von Online-Diensten zur Konstruktion sicherer Passwörter und zu deren regelmäßigen Ersetzen erzogen werden. Wie James auf der Webseite Security Ledger beschreibt, soll Nutzern allerdings ein klarer Anhaltspunkt gegeben werden, warum die konstante Änderung von Passwörtern notwendig ist. Die Zeit, die bis zur erzwungenen Passwort-Änderung bleibt, soll jener Zeit entsprechen, die gemäß einer eigenen Formel zum Knacken des Passworts durch Cyberkriminelle notwendig ist.

Mit dem Pawlowschen Passwort-Management soll jedoch schnell klar werden, warum ein bestimmtes Passwort welchen Sicherheitsgrad erreicht. James merkt auch an, dass das System ein Potenzial für Gamification bietet. Nutzer mit besonders starken Passwörtern könnten etwa monatlich mit Badges für das "Passwort des Monats" prämiert werden.

Variable Gestaltungsfreiheit

Wie Ars Technica anmerkt, wurde James Idee nur kurz nach einem Vorschlag der Stanford University veröffentlicht. Dieser sieht vor, dass Nutzer dazu gezwungen werden, Nummern oder Sonderzeichen in ihr Passwort einzubauen, wenn dieses eher kurz ist. Je länger das Passwort gestaltet wird, desto mehr Gestaltungsfreiheit erhält der Nutzer. Wenn das Passwort über 20 Zeichen lang ist, kann es etwa auch nur aus Buchstaben in Kleinschrift bestehen.