Passwörter: BSI verabschiedet sich endlich vom präventiven, regelmäßigen Passwort-Wechsel

"Passwörter sollte man regelmäßig ändern" ist kein sinnvoller Ratschlag. Zu dieser Ansicht hat sich jetzt offenbar auch das BSI durchgerungen. Die US-amerikanische Standardisierungsbehörde NIST, die das regelmäßige Passwortwechseln ursprünglich festgeschrieben hatte, nahm bereits 2017 von derartigen Regeln Abstand, das britische Pendant CESG sogar schon 2016.

Die 2020er-Ausgabe des BSI-Grundschutz-Kompendiums enthält im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) jetzt diesbezügliche keine Empfehlung mehr. Lediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Quelle: heise Online


Anmerkung:
Bei unseren IT-Sicherheitsschulungen proklamieren wir schon seit mehreren Jahren keinen präventiven, regelmäßigen Passwort-Wechsel mehr, sondern möglichst lange oder  komplexe Passphrasen mit Zahlen, Klein- und Grossbuchstaben und unbedingt mit Eselsbrücken, damit man sich diese gut einprägen kann:

wie z. B. IkmjD1E! => Ich kaufe mir jeden Donnerstag ein Eis!

Natürlich ist in bei sensiblen Anwendungen mit personenbezogenen Daten auch eine Zwei-Faktor-Authentifizierung dringend anzuraten, aber das ist eine andere Baustelle ...