BSI-Vorgabe: Wegfall des Zwangs zum regelmäßigen Passwortwechsel
Geschrieben von Axel Veil - - keine KommentarePasswortwechsel Rolle rückwärts
Seit Anfang der 2000er Jahre begleitet uns Anwender der erzwungene Passwortwechsel. Ein Ritual, dass -je nach Gusto der IT- oftmals jedes Quartal eine Stresssituation und Schweißperlen hervorrief: „Himmel, ich brauche ein neues Passwort!
Aber anders als die bisherigen. Und komplex mit Sonderzeichen.“
Schuld war eine Direktive seitens der NIST, der Standardisierungsbehörde der USA, die den regelmäßigen Passwortwechsel als quasi Standard definiert hat, weil es weltweit als Vorbild galt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat es entsprechend jahrelang so vorgegeben:
Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden.
Die Folge waren Büros voller interessante Post-Its gespickt mit Passwörtern entweder (aggressiv) am Monitor oder (defensiver) unter der Tastatur, die einmal im Quartal neu beschriftet wurden.
Ein solches Verhalten widerspricht der angestrebten Sicherheit.
Diese Regelung zur Passwortvorgabe aus den USA wurde im Sommer 2017 revidiert und ist mit der neuen Maßgabe nun auch (endlich) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) offizielle Empfehlung:
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Den Artikel BSI-Vorgabe: Wegfall des Zwangs zum regelmäßigen Passwortwechsel lesen