Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die langjährige Empfehlung, Passwörter in regelmässigen Abständen zu ändern, aus seinem Grundschutz-Kompendium gestrichen. Denn Passwörter würden nicht durch häufiges Ändern sicherer, entscheidend sei die Qualität des Kennworts an sich.
Dass das häufige Ändern von Passwörtern die Sicherheit eher schwächt als erhöht, hat sich in den letzten Jahren verstärkt durchgesetzt. Beispielsweise verzichtet die US-amerikanische Standardisierungs- und Technologiebehörde Nist, die das präventive Passwortwechseln quasi erfunden hatte, bereits seit 2017 auf diese Empfehlung. Schon ein Jahr früher hatte die britische IT-Sicherheitsbehörde CESG den regelmässigen Passworttausch aus ihren Empfehlungen genommen.
Vier Jahre nach der CESG folgt nun die deutsche Sicherheitsbehörde BSI und streicht die Empfehlung aus ihrem Grundschutz-Kompendium. Mit dieser offiziellen Freigabe dürften sich wohl auch die Sicherheitsstrategien der Unternehmen mittelfristig ändern. Das BSI empfiehlt den präventiven Passwort-Wechsel nur noch dann, wenn es Anzeichen dafür gibt, dass das Passwort kompromittiert worden sein könnte.
Kritisiert wird allerdings, dass das BSI auch die bisherige Empfehlung, feste Regeln für Länge und Komplexität eines Passworts, aus dem Kompendium gestrichen hat. Denn gerade die Qualität eines Passworts sei ja der entscheidende Sicherheitsfaktor. Immerhin aber heisst es seitens des BSI: "Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, dürfen nicht verwendet werden."
