Je regelmäßiger Mitarbeiter ihre Passwörter wechseln, umso gesicherter sind die Daten? Nicht unbedingt, sagt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun. Experten halten das regelmäßige Ändern von Passwörtern sogar für kontraproduktiv.
Um die Sicherheit von schützenswerten Daten auch in Zukunft zu gewährleisten, wurde zu diesem Anlass sogar ein „Ändere-dein-Passwort“-Tag geschaffen. Am 1. Februar sollen Nutzer präventiv ihre Kennwörter ändern. Doch diese Praktik hält das BSI mittlerweile für unratsam. In der diesjährigen Ausgabe des Grundschutz-Kompendiums 2020 rückt das BSI von dieser langjährigen Empfehlung des Passworttauschs ab und strich das entsprechende Kapitel hierzu komplett raus.
Tatsächlich sind sich Sicherheitsexperten schon seit einigen Jahren einig, dass das regelmäßige Austauschen von Passwörtern der Passwortsicherheit eher schadet als nützt. Diese Einsicht hatte sich bereits 2017 in den USA und Großbritannien durchgesetzt. Drei Jahre später hat sich nun auch das BSI dazu durchgerungen, von dieser überlieferten Regel Abstand zu nehmen.
Nicht das regelmäßige Wechseln macht die Passwörter sicherer, sondern die Qualität des Kennworts ist das entscheidende Sicherheitskriterium. Denn je öfter man das Passwort wechselt, desto eher neigt man dazu erstens schwächere Passwörter zu nutzen und zweitens dasselbe Schema anzuwenden (Passwort1, Passwort2 …).
Solange ein Passwort den qualitativen Sicherheitsstandards genügt, können Mitarbeiter es in Unternehmen mehrere Jahre bedenkenlos verwenden. Nur wenn die Wahrscheinlichkeit besteht, dass ein Passwort in fremde Hände gelangt sein könnte, sollte das Passwort gemäß den BSI-Richtlinien geändert werden.
Mit der Passage zur regelmäßigen Änderung von Passwörtern, sind auch die explizit festgelegten Bestimmungen zur Passwortqualität im diesjährigen Grundschutz-Kompendiums verschwunden. Demnach enthält das Kompendium keine festen Empfehlungen mehr zur Länge und Komplexität eines Passworts. Die Empfehlung reduziert sich auf folgende Parameter.
„Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“
Wahrscheinlich wird der bereits stattgefundene „Ändere-dein-Passwort“-Tag der letzte gewesen sein. Es bleibt die Frage, was nun in Sachen IT-Sicherheit zu tun ist. Die Cybersecurity-Experten der All for One Group geben in Ihrer neuesten Websession Antworten darauf. In der kostenlosen Online-Veranstaltung zeigen Peter Rosendahl und Timo Schlolaut auf, wie sich mittelständische Unternehmen dank Hybrid Identity Lösung in Microsoft & SAP mit Single-Sign-On und alternativen Anmeldemethoden aktiv gegen Cyberkriminalität schützen.
Quelle: Titelbild pixabay, geralt
