Mittwoch, 12. Februar 2020 | News | Blog

BSI: Regelmäßiges Ändern der Passwörter ist (überwiegend) unnötig

Umdenken beim Bundesamt für Informationstechnik (BSI), es fordert nicht mehr länger, dass Passwörter regelmäßig geändert werden sollen. Am 1. Februar war wieder der jährliche Ändere-Dein-Passwort-Tag. Haben Sie an diesem Samstag alle Ihre Passwörter geändert? Vermutlich nicht! Macht nichts, wenn Sie sichere und starke Passwörter verwenden, ist das auch nicht nötig.

Dies wurde jetzt auch vom BSI so bestätigt. Wir empfehlen übrigens in unseren Schulungen seit jeher, dass Passwörter komplex und lang sein sollten, es jedoch unnötig ist, diese alle drei bis sechs Monate zu ändern, es sei denn, man hat einen konkreten Verdacht.

Das BSI veröffentlichte am 3. Februar die neue Version des IT-Grundschutz-Kompendiums

In der neuen Ausgabe wurde der in Kapitel ORP.4.A8 enthaltene Satz: „Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden“ gelöschtDamit rückt das BSI, wie schon lange von vielen Experten gefordert, von der Forderung ab, dass Passwörter regelmäßig geändert werden müssen. Das BSI fordert jetzt nur noch: „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.“

Ganz vom Tisch ist die zeitliche Steuerung jedoch nicht, denn zur Klarstellung heißt es dann bei ORP.4.A23 noch: „Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Nächste Woche finden Sie hier in unserem SECOBIT BLOG wichtige Tipps zum Umgang zu Passwörtern.

Nutzen Sie bis dahin die Zeit, um ihre digitale Identität besser zu schützen und überprüfen Sie die folgenden Punkte: 

  • Welche Benutzerkennungen nutze ich überhaupt noch? Löschen Sie ungenutzte Kennungen und die dazugehörigen Passwörter.
  • Wenn Sie schon beim Aufräumen sind, können Sie auch gleich unbenutzte Apps auf Ihrem Smartphone löschen.
  • Meist werden bei den verschiedenen Internetdiensten E-Mail-Adressen als Benutzerkennungen verwendet.
Durch viele Datenleaks sind inzwischen im Internet mehrere Milliarden Kennungen und die dazugehörigen Passwörter frei zugänglich. Mit https://sec.hpi.de/ilc können Sie einfach überprüfen, ob Ihre E-Mail-Adressen auch betroffen sind. Alternativ können Sie https://haveibeenpwned.com/Passwords  nutzen.
  • Wollen Sie wissen, wie sicher Ihre eigenen Passwörter sind? Auf der Seite '"How secure is my password" können Sie überprüfen, wie lange ein moderner Computer benötigt, um Ihr Passwort zu erraten.
Wir empfehlen Ihnen aber, nicht ihre wirklich verwendeten Passwörter einzugeben, sondern nur ähnliche Passwörter, da man ja nie wissen kann, wo letztendlich die eingegebenen Passwörter landen.