Abschied vom zyklischen Passwortwechsel

By: Jakob Schmidt

Posted: 11. Februar 2020

Category: News

Hey, like this? Why not share it with a buddy?

Passwörter sind keine Unterhosen (mehr)

Ein kommentierender Beitrag

Von Jakob Schmidt

Ein Foto des Autors Jakob Schmidt, Coordinator Awareness KORAMIS GmbH, in schwarz-weiß

Jakob Schmidt ist Coordinator Awareness bei der KORAMIS GmbH.

Um auf die Bedeutung von sicheren Passwörtern und den Umgang mit ebendiesen hinzuweisen mangelt es nicht an mal mehr, mal minder passenden Vergleichen. Insbesondere, wenn es um das Paradigma des zyklischen Passwortwechsel geht. Also jener Empfehlung, die besagt, dass der User doch bitte in regelmäßigen Abständen seine Passwörter ändern sollte. Ganz egal ob es kompromittiert ist, oder eben auch nicht.

Einer der bekanntesten Sinnsprüche dazu stammt von Chris Prillo:

„Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmäßig wechseln und solltest sie nicht mit Fremden tauschen.“

Schön eingängig, aber eigentlich noch nie eine wirklich passende Analogie. Entweder wäre die Frequenz des Passwortwechsels exorbitant gewesen oder die Hygiene hätte - einen normalen Standard zugrunde gelegt - doch sehr gelitten.

Regeln ändern sich

Sei es drum - mittlerweile, nachdem sich das National Institute for Standards and Technology (NIST) schon 2017 von dem Paradigma des zyklischen, präventiven Austauschs des Passworts abgewendet hat (siehe: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf) , ist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dem Schluss gelangt, dass eine solche Empfehlung nicht mehr zeitgemäß ist (siehe:https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html) .

Was bleibt zum Schluss?

Die Erkenntnis, das es mit Sicherheit nicht schadet das tägliche Wechselintervall bei der Unterwäsche beizubehalten - alleine schon der Hygiene und den Mitmenschen zu Liebe. Auf den Umgang mit Passwörtern bezogen, taugt dieser Zeitrahmen aber wenig. Die wechselt man am besten nur, wenn der Verdacht besteht, dass sie kompromittiert sind.

« Schutz industrieller Netzwerke vor Cyberbedrohungen Kleine Ursache, großer Schaden – Wie dem Einschleusen von Schadsoftware über USB-Stick & Co. entgegenwirken »