Im Juli 2025 hat das National Institute of Standards and Technology (NIST) die Revision 4 der Digital Identity Guidelines (SP 800-63) veröffentlicht. Nach einem vierjährigen Entwicklungsprozess mit über 6.000 öffentlichen Kommentaren stellen diese Richtlinien jahrzehntelange Passwort-Praktiken radikal in Frage.
Das Ende alter Passwort-Regeln
Die spektakulärste Änderung betrifft die Passwort-Anforderungen, die mit allem brechen, was IT-Administratoren bisher als bewährte Praxis betrachtet haben. Während regelmäßige Passwort-Änderungen alle 60-90 Tage sowie komplexe Zusammensetzungsregeln als Goldstandard galten, verbieten die neuen Richtlinien genau diese Praktiken explizit.
Das neue Paradigma fordert Passwörter mit mindestens 15 Zeichen für Single-Factor-Authentication und mindestens 8 Zeichen bei Multi-Factor-Authentication. Systeme sollen maximal 64 Zeichen unterstützen und alle druckbaren ASCII- sowie Unicode-Zeichen akzeptieren. Gleichzeitig sind Zusammensetzungsregeln verschiedener Zeichentypen vollständig verboten.
Die Begründung liegt in der Forschung: Ein 15-stelliges Passwort aus einfachen Wörtern wie “correct horse battery staple mountain” ist exponentiell schwerer zu knacken als “P@ssw0rd123!” und gleichzeitig einfacher zu merken.
Wissenschaft statt Tradition
Erzwungene Komplexität führt paradoxerweise zu schwächeren Passwörtern. Nutzer tendieren zu vorhersagbaren Mustern: Großbuchstabe am Anfang, Zahlen am Ende, häufige Substitutionen wie “@” für “a”. Diese Muster machen Passwörter für Angreifer berechenbar.
Regelmäßige Passwort-Rotationen sind nur noch bei konkretem Kompromittierungsverdacht erforderlich. Häufige Wechsel verleiten zu schwächeren Passwörtern oder vorhersagbaren Variationen wie “SicheresPasswort2024” zu “SicheresPasswort2025”.
Passwort-Hints und Sicherheitsfragen sind vollständig untersagt, da sie oft durch Social Engineering kompromittiert werden.
Neue Sicherheitsmaßnahmen
Die Richtlinien führen Blocklist-Pflicht ein: Alle neuen Passwörter müssen gegen Datenbanken kompromittierter Passwörter, Wörterbuch-Begriffe und kontextspezifische Begriffe geprüft werden.
Gleichzeitig wird die Unterstützung von Passwort-Managern und Auto-Fill-Funktionen explizit gefordert. Systeme sollen Passwort-Anzeige während der Eingabe, Toleranz für Tippfehler und mobile Eingabehilfen bieten.
Herausforderungen für Hersteller
Für Entwickler bedeuten die Richtlinien fundamentale Änderungen. Bestehende Passwort-Policy-Engines müssen überarbeitet werden: Zusammensetzungsregeln entfernen, Längenvalidierung implementieren, Blocklist-Datenbanken integrieren.
Benutzeroberflächen benötigen Passwort-Anzeige-Funktionen, müssen Copy-Paste-Beschränkungen entfernen und sehr lange Passwörter unterstützen. Backend-Systeme erfordern sichere Hashing-Algorithmen, Rate-Limiting-Mechanismen und Unicode-Unterstützung.
Legacy-Systeme stehen vor besonderen Herausforderungen. Enterprise-Identity-Management-Systeme, Active Directory-Policies und Compliance-Software basieren auf den alten Paradigmen und benötigen umfassende Anpassungen. Gleichzeitig entstehen neue Marktchancen für NIST-konforme Passwort-Manager und Authentication-Services.
Weitere wichtige Neuerungen
Revision 4 bringt die Integration von syncable Authenticators wie Passkeys, neue Kontrollen gegen Deepfakes, Metriken für kontinuierliche Bewertung und die Berücksichtigung von Subscriber-Controlled Wallets.
Implementierungsherausforderungen
Die Umsetzung erfordert umfassende Nutzer-Umerziehung. Jahrzehntelange Gewohnheiten müssen geändert werden – viele Menschen müssen lernen, dass Länge wichtiger ist als Komplexität.
Compliance-Konflikte entstehen, da viele Branchen-Standards noch alte Passwort-Regeln vorschreiben. Organisationen stehen zwischen NIST-Konformität und regulatorischen Anforderungen.
Technische Schulden durch Jahre alter Standards erfordern substanzielle Investitionen in die Modernisierung der Authentifizierungsinfrastruktur.
Fazit
Die NIST Digital Identity Guidelines Revision 4 markieren den Übergang von traditionellen zu wissenschaftlich fundierten, benutzerfreundlichen Sicherheitspraktiken. Organisationen können ihre Sicherheitsposture verbessern und gleichzeitig die Benutzerfreundlichkeit erhöhen.
Für Hersteller entstehen neue Marktchancen bei gleichzeitiger Notwendigkeit zur Produktmodernisierung. Die Ära komplexer, regelmäßig zu ändernder Kurz-Passwörter ist vorbei – willkommen im Zeitalter wissenschaftlich fundierter Passwort-Sicherheit.
Die vollständigen Guidelines sind verfügbar unter NIST SP 800-63 Revision 4 mit den Teilbänden für Identity Proofing (Volume A), Authentication (Volume B) und Federation (Volume C).
