BSI: Regelmäßiges Ändern der Passwörter ist (überwiegend) unnötig

Am 1. Februar war wieder der jährliche Ändere-Dein-Passwort-Tag. Haben Sie an diesem Samstag alle Ihre Passwörter geändert? Vermutlich nicht! Macht nichts, wenn Sie sichere und starke Passwörter verwenden, ist das auch nicht
nötig. Dies wurde jetzt auch vom BSI so bestätigt. Wir empfehlen übrigens in unseren Schulungen seit jeher, dass Passwörter komplex und lang sein sollten, es jedoch unnötig ist, diese alle drei bis sechs Monate zu ändern, es sein
denn, man hat einen konkreten Verdacht.

Das BSI veröffentlichte am 3. Februar die neue Version des IT-Grundschutz-Kompendiums https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html. 

 In der neuen Ausgabe wurde der in Kapitel ORP.4.A8 enthaltene Satz: „Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden“ gelöscht. Damit rückt das BSI, wie schon lange von vielen Experten gefordert, von der Forderung ab, dass Passwörter regelmäßig geändert werden müssen. Das BSI fordert jetzt nur noch: „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.“

Ganz vom Tisch ist die zeitliche Steuerung jedoch nicht, denn zur Klarstellung heißt es dann bei ORP.4.A23 noch: „Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht
möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

In unserem BLOG „Sichere Passwörter“ finden Sie wichtige Tipps zu Passwörtern.

Schützen Sie Ihre digitale Identitäten besser und überprüfen Sie die folgenden Punkte:

• Welche Benutzerkennungen nutze ich überhaupt noch?

  Löschen Sie ungenutzte Kennungen und die dazugehörigen Passwörter.

• Wenn Sie schon beim Aufräumen sind, können Sie auch gleich unbenutzte Apps auf Ihrem Smartphone löschen.
  

• Meist werden bei den verschiedenen Internetdiensten E-Mail-Adressen als Benutzerkennungen verwendet.

  Durch viele Datenleaks sind inzwischen im Internet mehrere Milliarden Kennungen und die dazugehörigen Passwörter frei zugänglich. Mit https://sec.hpi.de/ilc können Sie einfach überprüfen, ob Ihre E-Mail-Adressen auch betroffen sind. Alternativ können Sie https://haveibeenpwned.com/Passwords  nutzen 

• Wollen Sie wissen, wie sicher Ihre eigenen Passwörter sind?

  Auf der Seite https://howsecureismypassword.net/ können Sie überprüfen, wie lange ein moderner Computer benötigt, um Ihr Passwort zu erraten.

  Wir empfehlen Ihnen aber, nicht ihre wirklich verwendeten Passwörter einzugeben, sondern nur ähnliche Passwörter, da man ja nie wissen kann, wo letztendlich die eingegebenen Passwörter landen.