BSI rät jetzt von regelmäßigem Passwort-Wechsel ab
Am 1. Februar eines Jahres wird traditionell der „Ändere-dein-Passwort“-Tag ausgerufen. Immerhin galt es lange als guter Rat, Nutzern den präventiven Wechsel ihrer Passwörter zu empfehlen. In Unternehmensnetzwerken sind Nutzer zumeist auch heute noch angehalten, ihre Passwörter spätestens alle 90 Tage zwangszuändern.
USA und Großbritannien kassierten Empfehlung schon vor Jahren ein
Die Erkenntnis, dass diese Vorgehensweise die Sicherheit eher schwächt als erhöht, hat sich in den letzten Jahren mehr und mehr durchgesetzt. Immerhin werden Passwörter nicht durch häufiges Ändern sicherer. Entscheidend ist die Qualität des Kennworts an sich.
So verzichtete die US-amerikanische Standardisierungs- und Technologiebehörde NIST, die das präventive Passwortwechseln quasi erfunden hatte, bereits 2017 auf diese Empfehlung. Schon ein Jahr früher hatte die britische IT-Sicherheitsbehörde CESG den regelmäßigen Passworttausch aus ihren Empfehlungen genommen.
BSI streicht Zwangsänderungen und genaue Regeln zum Aufbau
Vier Jahre nach der CESG folgt nun die deutsche Sicherheitsbehörde BSI und streicht die Empfehlung aus ihrem Grundschutz-Kompendium. Mit dieser offiziellen Freigabe dürften sich die Sicherheitsstrategien deutscher Unternehmen mittelfristig ändern.
Weiterhin empfiehlt die deutsche IT-Sicherheitsinstanz den präventiven Passwort-Wechsel nur dann, wenn es Anzeichen dafür gibt, das Passwort könnte kompromittiert worden sein.
Problematisch erscheint indes, dass das BSI auch die bisherige Empfehlung, feste Regeln für Länge und Komplexität eines Passworts, aus dem Kompendium gestrichen hat. Dabei ist gerade die Qualität eines Passworts der entscheidende Sicherheitsfaktor. Immerhin formuliert das BSI: „Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden.“
Passend dazu: Passwörter ändern aus Prinzip ist eine Sicherheits-Sackgasse
Sehr gut, das ist doch zumindest mal sinnvoll. Dieses regelmässige Ändern sorgt doch typischerweise dann auch nur zu GeheimesPasswort1, GeheimesPasswort2… -Serien :-) Muss sich nun nur noch in Unternehmen durchsetzen.
Schade hingegen, dass keine konkreten Vorgaben mehr vorhanden sind. Ich würde mich allerdings so weit aus dem Fenster legen, wenn sich ein Unternehmen an dem Grundschutz-Kompendium orientiert, findet man dort auch eine Regelung. Insofern sind konkrete Vorgaben eher was für den Bereich der kleinen Unternehmen oder Privatleute.
Ich empfehle ja immer(https://www.datenwache.de/sichere-passwoerter/)
– Nie ein Passwort doppelt verwenden
– Zufällige Passwörter, keine Systeme
– Passwörter müssen lang sein. Mindestens 24 Zeichen.
Wohlwissend, dass „zufällig“ viel bedeuten kann, daher eher eine höhere Anzahl von Zeichen.
Wie haltet Ihr Eure Empfehlungen?
Mitch
Die Passwörter nicht zu ändern ist doch völliger Blödsinn. Wenn man ein qualitativ gute Passwort gegen ein qualitativ gleiches Passwort ändert, macht das Sinn. Wer die Passwörter nicht ändert, findet sich dann in irgengeinem Datensatz wieder, der zwar wie immer behauptet wird, als ist, aber wenn man seine Passwörter nicht ändert, man eben an seine Daten kommt. Völlig bescheuerter Tipp. Besser wäre es gewesen Tipps zu geben, dass man auf die Qualität achten sollte, statt das Ändern der Passwörter zu streichen. Nur weil die User zu dumm sind, muss man einen guten Tipp deswegen nicht streichen.
Sie haben übrigens den Tipp gegeben, dass „man auf die Qualität achten“ sollte. Steht im Beitrag.