Regelmäßige Passwort-Wechsel eher Fluch als Segen?

10
667
Maksim Kabakou

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Zuerst hatte Heise Security über die Änderung berichtet.

Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht dass solche Regeln eher schaden als nützen. „Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen“, schreibt Heise Security. „Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, …) erzeugt.“ 

Sicherheitsexperte Prof. Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: „Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat.“

Bildquelle:

  • Hacker: Maksim Kabakou

10 Kommentare im Forum

  1. Tja so ist das, wenn sich Leute „am grünen Tisch“ praxisferne Regeln ausdenken. Sie waren einfach nur unsinnig! Wäre mal interessant, ob beim BSI selbst bisher von den Computer-Nutzern die Passwörter nach welchen Regeln regelmäßig geändert werden mussten und was für Passwort-Konstrukte die einzelnen Nutzer dafür verwendet haben, um sich die Passwörter überhaupt merken zu können.
  2. Ich habe bei uns in der Firma irgendwann alles auf kryptische Passworte aus dem Passwortgenerator umgestellt, anfangs haben alle geschimpft, dann haben sie die Passworte gelernt, ich zog irgendwann durch die Büros und habe Zettel unter Tastaturen und an Monitoren entfernt, heute nutzen sie die Passworte auch zuhause, bzw. Abwandlungen davon. Bei der Gelegenheit hatte ich aber die alten Passworte kennengelernt. Neben dem Klassiker "passwort", war vor allem eines eindrucksvoll: "öl" Jemand hatte gehört, dass alle Passworte mit deutschen Umlauten grundsätzlich sicher seien, und sich dann für ein ganz kurzes entschieden.
  3. Hä, das geht ja gar nicht, dass man den Nutzern ihre Passwörter vorgibt. Das sind persönliche Daten, die kein anderer kennen soll(te)!
Alle Kommentare 10 im Forum anzeigen

Kommentieren Sie den Artikel im Forum