Sie sind eine Last des digitalen Zeitalters und einfach unumgänglich: Passwörter. Sie belasten vor allen Dingen dann, wenn man dazu genötigt wird, sie alle paar Monate zu ändern. Ein unnötiger Vorgang, wie führende IT-Sicherheitsexperten schon seit einigen Jahren meinen. Denn laut Experteneinschätzung schaffe der häufige Wechsel von Passwörtern eher Probleme als sie zu lösen. Denn das regelmäßige Abändern der eigenen Passwörter veranlasse Benutzer viel eher dazu, sich unsichere neue Passwörter auszudenken. Vor Angst, sie selbst einmal zu vergessen.
Und genau diese Gefahr sieht nun auch das BSI und hat die Empfehlung, Passwörter regelmäßig zu ändern, aus seinem Grundschutz-Kompendium gestrichen. Es empfiehlt stattdessen ein Passwort nur dann zu wechseln „wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“.
ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [ITBetrieb]
„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“
Ein bemerkenswerter Wandel, wenn nicht sogar DER bemerkenswerteste in der deutschen Passwort-Sicherheit. Übrigens hinkt Deutschland mit dieser Ansicht über die Nutzung von Passwörtern hinterher. Die amerikanische Behörde NIST (National Institute of Standard and Technology) hatte schon 2017 ihre Vorgaben zur Nutzung von Passwörtern geändert.
