BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel
- holgermay
- 9. März 2020
- 2 Min. Lesezeit
Aktualisiert: 8. Mai
»Passwörter sollte man regelmäßig ändern« ist kein sinnvoller Ratschlag. Zu dieser Ansicht hat sich jetzt offenbar auch das BSI durchgerungen. Das Bundesamt für Sicherheit rät nur noch für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern.
Bereits seit Jahren kristallisiert sich in der Security-Community ein Konsens heraus, dass solche Regeln eher schaden als nützen. Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt. Deshalb argumentiert etwa heise Security schon lange gegen die pauschale Verpflichtung zum regelmäßigen Passwortwechsel und Aktionismus wie den »Ändere dein Passwort«-Tag.
» Artikel erschienen auf heise.de

» Die beliebtesten deutschen Passwörter 2019 (Hasso Plattner Institut)
Für Unternehmen gilt im Rahmen des IT-Grundschutz die Regelung des Passwortgebrauchs ORP.4.A8 [Benutzer, IT-Betrieb] (B)
Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe auch ORP.4.A22 Regelung zur Passwortqualität und ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme). Dabei MUSS geprüft werden, ob Passwörter als alleiniges Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale bzw. -verfahren zusätzlich zu oder anstelle von Passwörtern verwendet werden können.
Passwörter DÜRFEN NICHT mehrfach verwendet werden.
Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden.
Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden.
Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein.
Passwörter DÜRFEN NUR unbeobachtet eingegeben werden.
Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden.
Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden.
Die Nutzung eines Passwort-Managers SOLLTE geprüft werden.
Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.
» Mehr Informationen unter beim BSI unter ORP.4 Identitäts- und Berechtigungsmanagement
Cybersicherheit von Tedesio: Ihre Verteidigungslinie gegen digitale Bedrohungen
Angriffe aus dem Netz sind immer präsenter. Tedesio hilft Ihnen, Ihre IT-Systeme gezielt abzusichern, Schwachstellen zu erkennen und die richtigen Sicherheitsstrategien zu entwickeln. Vertrauen Sie auf unsere Expertise, um Ihr Unternehmen vor Cyberangriffen und Datenverlust zu schützen.
Mehr erfahren: IT-Security bei Tedesio
Kontakt
Tedesio GmbH
21244 Buchholz in der Nordheide
Telefon: 04181 92891-67
E-Mail: security@tedesio.de