BSI: Kein regelmäßiger Passwort-Wechsel mehr

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen.

Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht dass solche Regeln eher schaden als nützen. Sicherheitsexperte Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: »Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat.«

Das Hasso-Plattner-Institut (HPI) verzichtet bereits seit längerem auf die Empfehlung, Passwörter regelmäßig zu ändern. Das sollte man nur dann tun, wenn der Verdacht besteht, die Daten könnten in falsche Hände geraten sein. Anlässlich des »Change Your Password Days«  am 1. Februar 2020 hatte HPI erneut die wichtigsten Grundregeln bei der Wahl starker und damit sicherer Passwörter veröffentlicht.

Quelle: CRN