Bundesamt für Sicherheit in der IT rät von regelmäßigen Passwortwechsel ab

Lange galt, dass Nutzer ihre Passwörter in regelmäßigen Abständen wechseln sollten, um den Schutz ihrer Daten zu gewährleisten. Doch diese langjährige Empfehlung nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun zurück. Laut Expertenansicht kann das regelmäßige Austauschen von Kennwörtern sogar schädlich sein.

Jahrelang galt das regelmäßige Wechseln der Passwörter als unbedingt notwendig. Zu diesem Anlass wurde sogar der 1. Februar als „Ändere-dein-Passwort“-Tag ins Leben gerufen. Doch dieser Aktionstag dürfte bald ausgedient haben. Denn der BSI rät nun davon ab, seine Kennwörter regelmäßigen zu ändern. Dies sei mittlerweile sogar kontraproduktiv. Die entsprechende Textpassage zum „Ändern der Passwörter“ hat das Bundesamt aus dem Grundschutz-Kompendium 2020 entfernt.

BSI folgt nun den USA, Großbritannien und Expertenansichten

Diese neue Denkweise des BSI ist allerdings nicht wirklich neuartig. Vielmehr zeichnete sich in Expertenkreisen schon seit einigen Jahren ab, dass die Sicherheit durch einen Passwortwechsel nicht gesteigert werden kann. Überhaupt könnte diese Praktik der Datensicherheit sogar eher schaden als nutzen. Bereits 2017, sprich drei Jahre vor dem BSI, hat sich in den entsprechenden BSI-Pendants der USA und Großbritannien diese Sichtweise durchgesetzt.

Der Sicherheitsgrad von Passwörtern wird durch das regelmäßige Austauschen nicht erhöht, sondern allenfalls gemindert, so Experten. Denn je häufiger man dazu aufgefordert wird, Passwörter auszutauschen, desto eher zeigt sich die Tendenz nicht nur schwächer konstruierte Passwörter einzustellen, sondern auch fortlaufend demselben Muster zu folgen (secret1, secret2 …).

Bestimmungen des BSI zur Passwortqualität

Nicht nur das Kapitel zum regelmäßigen Ändern der Passwörter ist aus dem diesjährigen Grundschutz-Kompendium ausgeklammert worden. Auch die ausdrücklichen Hinweise zur Passwortqualität wurden gestrichen und durch pauschale Anhaltspunkte ersetzt. So heißt es, dass ein Passwort so komplex sein muss, dass es nicht auf Anhieb erraten werden kann. Das umfasst also die klassischen Fälle von „Passwort“, „1234“ oder dem eigenen Geburtsdatum. Auf der anderen Seite darf das Passwort aber auch nicht so kompliziert sein, dass der Nutzer sich dieses nicht merken kann.

Sofern ein Passwort diesen Qualitätsstandards genügt, kann es auch jahrelang unbesorgt weiterhin verwendet werden. Besteht allerdings der Verdacht, dass ein Kennwort in fremde Hände gelangt ist, sollte dieses sofort gewechselt werden.

Zahlreiche Alternativen zum einfachen Passwort

Neben dem herkömmlichen Passwort gibt es aktuell zahlreiche Lösungsansätze für Unternehmen, Mitarbeiter und Privatpersonen, um den Zugang zu vertraulichen Daten über andere Wege zu schützen. Dazu gehören zum Beispiel zukunftsgerichtete Ansätze wie die Hybriden Identity und Multi-Faktor-Authentifizierung, die durch die Kombination von zwei oder mehr Berechtigungsnachweisen die Identität des Nutzers überprüft.

Quelle Titelbild: iStock/anyaberkut