»Passwörter sollte man regelmäßig ändern« ist kein sinnvoller Ratschlag. Zu dieser Ansicht hat sich jetzt offenbar auch das BSI durchgerungen. Das Bundesamt für Sicherheit rät nur noch für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern.
Bereits seit Jahren kristallisiert sich in der Security-Community ein Konsens heraus, dass solche Regeln eher schaden als nützen. Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt. Deshalb argumentiert etwa heise Security schon lange gegen die pauschale Verpflichtung zum regelmäßigen Passwortwechsel und Aktionismus wie den "Ändere dein Passwort"-Tag.
» Artikel erschienen auf heise.de
» Die beliebtesten deutschen Passwörter 2019 (Hasso Plattner Institut)
Für Unternehmen gilt im Rahmen des IT Grundschutz die Regelung des Passwortgebrauchs ORP.4.A8 [Benutzer, IT-Betrieb] (B)
Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe auch ORP.4.A22 Regelung zur Passwortqualität und ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme). Dabei MUSS geprüft werden, ob Passwörter als alleiniges Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale bzw. -verfahren zusätzlich zu oder anstelle von Passwörtern verwendet werden können.
Passwörter DÜRFEN NICHT mehrfach verwendet werden.
Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden.
Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden.
Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein.
Passwörter DÜRFEN NUR unbeobachtet eingegeben werden.
Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden.
Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden.
Die Nutzung eines Passwort-Managers SOLLTE geprüft werden.
Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.
» Mehr Informationen unter beim BSI unter ORP.4 Identitäts- und Berechtigungsmanagement
Über uns
Tedesio ist ein modernes und intelligentes IT Spezialistenteam mit den Schwerpunkten IT Security, ITK Lösungen und IT Authority. Wir unterstützen Sie bereits im Vorfeld sowie in eingetretenen Ausnahmezuständen als kompetenter und professioneller Partner mit einem großen Spektrum an Services & Solutions in den Bereichen »IT Security, »IT Analytics, »IT Forensic und »DSGVO (Datenschutzgrundverordnung). Wir beraten und begleiten Sie und Ihr Unternehmen diskret, vertrauensvoll und kompetent bei den ständig steigenden Sicherheitsherausforderungen durch die Vernetzung der »IT Systeme. Sie profitieren hierbei von unseren Erfahrungen und Erkenntnissen.
Kontakt
Tedesio GmbH
21244 Buchholz in der Nordheide
Telefon: 04181 92891-67
E-Mail: security@tedesio.de
www.tedesio.de