Warum das Passwort nicht mehr ständig geändert werden muss

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man kann auf den “ständigen Wechsel” von Passwörtern dann verzichten, wenn das Passwort stattdessen wirklich komplex ist.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Warum das Passwort nicht mehr ständig geändert werden muss

Warum das Passwort nicht mehr ständig geändert werden muss

Hat der Passwortwahnsinn nun endlich ein Ende? Das grundlose, regelmäßige Ändern von Passwörtern ist aus dem IT-Grundschutz-Kompendium des BSI gestrichen worden. Dürfen Mitarbeiter jetzt aufatmen, weil sie sich nicht alle paar Monate komplexe Passwörter neu merken müssen und woher kommt der Mythos ständig sein Passwort ändern zu müssen?

Seit 2003 gilt es als Standard, dass Passwörter…

  1. komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen) und
  2. alle 90 Tage gewechselt werden sollen.

Zu „verdanken“ haben wir diesen Technologiestandard einem gewissen Mr. Bill Burr, der 2003 als Mitarbeiter des National Institute of Standards and Technology (NIST) den „NIST Special Publication 800 – 63. Appendix A“ verfasste. Das NIST legt als US-Behörde die Technologiestandards für die USA fest. Seine Empfehlungen fanden darüber hinaus erhebliche internationale Resonanz und waren seither absoluter Sicherheitsstandard bei der Vergabe von Passwörtern.

Was ist ein starkes Passwort?

Bereits 2017 revidierte das NIST jedoch seine Position (aktuelle Version). Und ihr Erfinder Bill Burr äußerte sich in einem Interview mit dem Wall Street Journal im gleichen Jahr sehr deutlich, indem er sagte, dass er auf dem falschen Dampfer gewesen sei und den Passwortwahnsinn bereue.

Seine Empfehlungen beruhten, seinen Aussagen zufolge, maßgeblich auf einem Paper der 80er Jahre. Und tatsächlich war das Wissen über Passwörter und vor allem über das User-Verhalten zu dieser Zeit nicht ausreichend erforscht – mal abgesehen davon, dass die vorhandenen Daten (Passwortsammlungen) mit den heutigen Datenmengen nicht vergleichbar sind.

Seit 2017 empfiehlt das NIST:

  • lange, statt komplizierte Passwörter zu verwenden, d.h. nicht weniger als 8 Zeichen, besonders sicher wäre auch ein kompletter Satz
  • Sonderzeichen erhöhen die Sicherheit des Passwortes nicht wesentlich, vor allem, weil die Algorithmen von Hackern diese Varianten zügig bei sogenannten Brute-Force-Attacken durchtesten
  • Passwortdopplungen sollten vermieden werden
  • keine regelmäßigen Änderungen der Passwörter, wenn nicht Anhaltspunkte für eine Kompromittierung vorliegen (Vermutung Hackerangriff etc.), da Nutzer bei zu häufigen Wechseln dazu neigen, unsichere Chiffren einzusetzen, um sich die vielen Passwörter noch merken zu können

Empfehlungen des BSI

Jüngst scheint das BSI (Bundesamt für Sicherheit in der Informationstechnik) endlich „Gnade“ walten zu lassen. Bis vor kurzem hielt das BSI in seinem IT-Grundschutz-Kompendium noch eisern an den NIST-Vorgaben fest. Anfang des Monats wich es in seinen Angaben vom zwanghaften Passwörterwechsel jedoch ab. Die Hinweise lauten nun u. a. wie folgt:

„ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)

In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“

„ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Die wichtigsten Punkte zu Passwörtern

Zusammenfassend die wichtigsten Punkte zu Passwörtern:

  • Passwörter müssen geheim gehalten werden (Zettel mit den Passwörtern an Bildschirmen oder Tastaturen sind absolut inakzeptabel)
  • dasselbe Passwort sollte nicht für unterschiedliche Zwecke verwendet werden
  • umso länger das Passwort, umso besser (es empfehlen sich auch vollständige Sätze)
  • zu komplizierte Passwörter gefährden die Sicherheit
  • Sonderzeichen oder Zahlen sind gut, wenn das Passwort dadurch nicht zu kompliziert wird und im schlechtesten Fall häufig so verwendet wird (Bsp. Pa$$w0rd)
  • grundlose Passwortwechsel sind zu vermeiden
  • wenn ein Passwort gewechselt wurde, darf es nicht wiederverwendet werden und auch marginale Veränderungen reichen nicht aus

Insgesamt wäre es ratsam für Unternehmen, wenn sie ihre Mitarbeiter auf den sicheren Umgang bei der Verwendung von Passwörtern hinweisen würden. Anbieten würde sich zum Beispiel eine Einweisung beim Arbeitsbeginn und der erstmaligen Einrichtung. Außerdem können IT-Richtlinie oder ein Handbuch die laufenden Prozesse unterstützen. Wiederholende Schulungen können zu dem helfen diese Aspekte im Bewusstsein der Mitarbeiter zu verankern.

Beliebt ist nicht gleich sicher

Auch beim größten Verständnis für hohen Frust bei grundlosen, aufgedrängten Passwortwechseln ist die hohe Stellung der standardisierten IT-Sicherheit nicht zu unterschätzen. In Zeiten, in denen viele User noch Passwörter (gern auch dasselbe für alle Accounts) benutzen, wie 12345, qwertz oder der Evergreen password/t, hat man den Eindruck, dass Hacker geradezu eingeladen werden sollen (Liste der beliebtesten Passwörter). Mit den wenigen, oben genannten Tipps stärkt man jedoch seine Sicherheit und tritt dem ein oder anderen Hackerangriff wirksam entgegen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Warum das Passwort nicht mehr ständig geändert werden muss.