Bill Burr war Manager am National Institute of Standards and Technology (NIST). Im Jahr 2003 schrieb er einen achtseitigen Leitfaden zum Thema sichere Passwörter mit dem Titel NIST Special Publication 8800-63. Appendix A. Über die Jahre ist dieser Leitfaden zum Standard geworden, den viele Betreiber von E-Mail-Diensten, Bank-Logins und anderen Stellen übernommen haben.
Burr war kein Sicherheitsexperte, als er das Dokument verfasst hat — er wusste laut eigenen Aussagen nicht einmal sonderlich viel über Passwörter. Gegenüber dem Wall Street Journal drückte der inzwischen pensionierte Bürokrat seine Reue aus. Mit seiner Methode erstellte Passwörter sind für Angriffe auf der Grundlage von Brute-Force nicht sicherer als andere, lassen sich aber von Menschen deutlich schwerer merken. Bei Brute-Force werden sprichwörtlich mit purer Gewalt in Windeseile alle möglichen Passwort-Kombinationen durchprobiert, bis eine den Zugang ermöglicht.
Bereits ein XKCD-Comic aus dem Jahr 2011 erklärt, wie sichere und merkbare Passwörter funktionieren können. Lange Phrasen anstelle von kryptischen Zeichenkombinationen sind inzwischen auch in den Richtlinien der NIST angekommen.
Zu Burrs Verteidigung: Er konnte sich bei der Formulierung seiner Richtlinien nicht auf besonders viele echte Daten stützen. Solange sich Entwickler bei ihren Vorgaben für Passwörter aber auf das überholte Wissen der frühen 2000er stützen, dürften unsere Accounts leider nicht viel sicherer werden — allen neueren Erkenntnissen über Merkbarkeit und Sicherheit zum Trotz.
