Es ist bisher ein integraler Bestandteil einer funktionierenden IT-Sicherheit, sämtliche Passwörter regelmäßig zu ändern. Hier bahnt sich jedoch eine Revolution an. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat das anlasslose, regelmäßige Ändern von Passwörtern aus seinem IT-Grundsatz-Kompendium gestrichen. Bisher galt, dass Passwörter eine Mischung zwischen Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten sollen und zudem alle 90 Tage gewechselt werden müssen.
Problem mit bisheriger Passwort-Richtlinie
Zentrales Problem an dieser bisherigen Richtlinie ist, dass sie für Mitarbeiter nicht praktikabel ist. Mehrere zu komplexe Passwörter kann man sich im Arbeitsalltag nur schwer merken. Dies führt dazu, dass Mitarbeiter sehr einfache und dadurch unsichere Passwörter nutzen. Hierdurch haben Hacker dann ein leichtes Spiel.
Neue Empfehlungen des BSI
Das BSI empfiehlt nun, Passwörter so komplex auszugestalten, dass sie nicht leicht zu erraten aber gleichzeitig nicht zu kompliziert sind, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden. Hier gilt: Umso länger ein Passwort, desto besser ist es. Es bieten sich „ganze Sätze“ als Passwort an. Zu komplizierte Passwörter gefährden die Sicherheit. Zudem sollten Passwörter nicht mehr grundlos in regelmäßigen Abständen geändert werden. Wenn ein Passwort gewechselt wurde, darf es nicht wiederverwertet werden und auch kleine Veränderungen reichen nicht aus. Passwörter müssen geheim gehalten werden und Notizzettel an Bildschirmen oder Tastaturen sind nicht akzeptabel. Außerdem sollte dasselbe Passwort nicht für unterschiedliche Zwecke verwendet werden.
Kein Kommentar