Passwörter: Der 1.Februar 2020 war (hoffentlich) der letzte "Ändere dein Passwort"-Tag.
- "Geschrieben von Matthias Pufke"
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) verabschiedet sich von seiner Empfehlung eines präventiven, regelmäßigen Passwort-Wechsels
"Passwörter sollte man regelmäßig ändern" ist kein sinnvoller Ratschlag mehr - so das BSI im Gegensatz zu seiner bisherigen Empfehlung. Die Ausgabe des BSI-Grundschutz-Kompendiums dieses Jahres enthält im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) nun keine diesbezügliche Empfehlung mehr. Lediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.
Seit einigen Jahren kristallisiert sich in der Security-Community ein Konsens heraus, dass solche Regeln eher schaden als nützen. Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt.
Weitere Informationen dazu von uns:
Zehn Regeln für die digitale Sicherheit
"Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat", so Prof. Markus Dürmuth, der an der Ruhr-Uni Bochum unter anderem zu Themen wie benutzerfreundlicher Authentifizierung und Passwort-Sicherheit forscht.
Die ausländischen Pedants (NIST in den USA, CESG aus GB) haben bereits schon 2016 und 2017 die gleiche Empfehlung ausgesprochen. Aber bei uns Deutschen dauert es halt manchmal ein weniig länger ...