BSI-Vorgabe: Wegfall des Zwangs zum regelmäßigen Passwortwechsel

Geschrieben von Axel Veil -

ImagePasswortwechsel Rolle rückwärts

Seit Anfang der 2000er Jahre begleitet uns Anwender der erzwungene Passwortwechsel. Ein Ritual, dass -je nach Gusto der IT- oftmals jedes Quartal eine Stresssituation und Schweißperlen hervorrief: „Himmel, ich brauche ein neues Passwort!
Aber anders als die bisherigen. Und komplex mit Sonderzeichen.“

Schuld war eine Direktive seitens der NIST, der Standardisierungsbehörde der USA, die den regelmäßigen Passwortwechsel als quasi Standard definiert hat, weil es weltweit als Vorbild galt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat es entsprechend jahrelang so vorgegeben:

Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden.

Die Folge waren Büros voller interessante Post-Its gespickt mit Passwörtern entweder (aggressiv) am Monitor oder (defensiver) unter der Tastatur, die einmal im Quartal neu beschriftet wurden.
Ein solches Verhalten widerspricht der angestrebten Sicherheit.

Diese Regelung zur Passwortvorgabe aus den USA wurde im Sommer 2017 revidiert und ist mit der neuen Maßgabe nun auch (endlich) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) offizielle Empfehlung:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.

Sind zeitliche Passwortwechsel nun passe?

Dazu sollte man die Empfehlung des BSI weiter lesen:

Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Es kann also durchaus noch sinnvoll sein, einen zeitlichen Passwortwechsel als Ausnahme zu forcieren. Das kommt allerdings immer auf den Einzelfall an, genauso wie die Maßnahmen, kompromittierte Passwörter zu erkennen.

Kompromittierte Passwörter erkennen

Diese Anforderung des BSI verpflichtet den Betreiber, unberechtigte Konten-Logins und Aktivitäten zu verhindern. Das kann beispielsweise durch das Abfangen ungewöhnlicher Zugriffsversuche (Zeit, IP-Adressen, …) erfolgen, ist aber mit einem gewissen Aufwand verbunden, den nicht jede Firma aus dem Stegreif leisten kann. Trotzdem sollten solche Maßnahmen priorisiert erörtert werden, anstatt einfach einen zeitgesteuerten Passwortwechsel weiter zu betreiben.

Von einigen Seiten kommt der Rat, einen regelmäßigen Abgleich von Passwörtern mit einem Online-Service vorzunehmen, der eine Datenbank mit kompromittierten Zugangsdaten bietet, z. B. „have i been pwned?“. Das hat den großen Nachteil, dass Abfragen bei solchen Services selbstredend Begehrlichkeiten bei Hackern wecken und somit „gute“ Passwörter durch einen Hack in falsche Hände geraten würden.

Freiwilliger Passwortwechsel

Aus Anwendersicht sollte man trotzdem bestimmte Passwörter freiwillig regelmäßig ändern. Dazu gehören Dienste, die eine zentrale Bedeutung haben, aber nicht über einen zweiten Faktor abgesichert werden können. Hier sollten die vielen gehackten Online-Dienste der letzten Jahre eine Lehre sein.

Empfehlungen zum Passwortgebrauch

Das BSI führt weitere Maßnahmen für den Alltagsgebrauch auf:

  • Die Institution MUSS den Passwortgebrauch verbindlich regeln

  • Es MUSS geprüft werden, ob Passwörter als alleiniges Authentisierungsverfahren eingesetzt werden sollen

  • Passwörter DÜRFEN NICHT mehrfach verwendet werden

  • Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden

  • Passwörter MÜSSEN geheim gehalten werden. Sie DÜRFEN NUR dem Benutzer persönlich bekannt sein.

  • Passwörter DÜRFEN NUR unbeobachtet eingegeben werden.

  • Passwörter DÜRFEN NICHT auf programmierbaren Funktionstasten von Tastaturen oder Mäusen gespeichert werden.

  • Ein Passwort DARF NUR für eine Hinterlegung für einen Notfall schriftlich fixiert werden. Es MUSS dann sicher aufbewahrt werden.

  • Die Nutzung eines Passwort-Managers SOLLTE geprüft werden.

  • Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.

Zur Passwortqualität

  • In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden.

  • Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist.

  • Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.

Fazit

Einen erzwungenen Passwortwechsel sollten Firmen abschaffen und stattdessen lange, aber nicht zu komplexe Passwörter vom Anwender einfordern.

Zudem gilt es, kompromittierte Passwörter zu erkennen.

Sämtliche Maßnahmen können durch den Einsatz eines Passwort-Managers unterstützt werden.
Empfehlung: Keepass (Open Source)

 

Quellen:

https://www.heise.de/security/meldung/Sichere-Passwoerter-Viele-der-herkoemmlichen-Sicherheitsregeln-bringen-nichts-3797935.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ORP/ORP_4_Identit%C3%A4ts-_und_Berechtigungsmanagement.html

Sie möchten Unterstützung zu diesem oder ähnlichen Themen?
Nehmen Sie einfach Kontakt auf!

Kategorisiert in : Nicht kategorisiert - Schlüsselwörter : bsi, tom,