10.03.2020

Empfehlung BSI: Regelmäßiger Passwortwechsel ist unratsam

Je regelmäßiger man das Passwort wechselt, umso gesicherter sind die Daten? Diese langjährige Empfehlung revidiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun. Experten halten das regelmäßige Ändern von Passwörtern sogar für kontraproduktiv.

Um die Sicherheit seiner schützenswerten Daten auch in Zukunft noch zu gewährleisten, wurde zu diesem Anlass sogar ein „Ändere-dein-Passwort“-Tag geschaffen. Am 1. Februar sollen Nutzer präventiv ihre Kennwörter ändern. Doch diese Praktik hält das BSI mittlerweile für unratsam. In der diesjährigen Ausgabe des Grundschutz-Kompendiums 2020 rückt das BSI von dieser langjährigen Empfehlung des Passworttauschs ab und strich das entsprechende Kapitel hierzu.

In den USA und Großbritannien wird schon lange davon abgeraten

Tatsächlich sind sich Sicherheitsexperten schon seit einigen Jahren einig, dass das regelmäßige Austauschen von Passwörtern der Passwortsicherheit eher schadet als nützt. Diese Einsicht hat sich bereits 2017 in den USA und Großbritannien durchgesetzt. Vier Jahre später hat sich nun auch das BSI dazu durchgerungen, von dieser überlieferten Regel Abstand zu nehmen.

Das BSI rät von einem regelmäßigem Passwortwechsel ab. (Quelle: iStock / anyaberkut)

Nicht das regelmäßige Wechseln macht die Passwörter sicherer, sondern allein die Qualität des Kennworts ist das entscheidende Sicherheitskriterium. Denn je öfter man das Passwort wechselt, desto eher neigt man dazu (1) schwächere Passwörter zu nutzen und (2) dasselbe Schema anzuwenden (Passwort1, Passwort2, …). Solange ein Passwort den qualitativen Sicherheitsstandards genügt, kann man es über einen mehrere Jahre andauernden Zeitraum bedenkenlos verwenden. Allein für den Fall, dass die begründete Gefahr besteht, dass ein Passwort in fremde Hände gelangt ist, soll das Passwort gemäß BSI-Richtlinien geändert werden.

Ein Passwort muss ausgewählte Kriterien erfüllen, damit es als sicher gilt. (Quelle: iStock / Media Trading Ltd)

BSI-Richtlinien zur Passwortqualität

Mit der Passage zur regelmäßigen Änderung von Passwörtern, sind auch die explizit festgelegten Bestimmungen zur Passwortqualität im diesjährigen Grundschutz-Kompendiums verschwunden. Demnach enthält das Kompendium keine festen Empfehlungen mehr zur Länge und Komplexität eines Passworts. Die Empfehlung reduziert sich auf folgende Parameter:

„Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“

01.02.2020 – der letzte „Ändere-dein-Passwort“-Tag?

Die dargelegten Begründungen, einer eher dysfunktionalen Wirkung von regelmäßigen Passwortwechseln, scheinen schlüssig. Mit der neuen Denkweise des BSI werden dementsprechend Regeln einer zwangsweisen Änderung von Passwörtern und den genauen Regeln zur Passwortkonstruktion gestrichen. Die neuen Auflagen zur Passwortsicherheit des BSI, dürften womöglich die Sicherheitsstrategien von deutschen Unternehmen künftig ändern.

Quelle Titelbild: iStock / anyaberkut

[plista]