Mit der Neuauflage des Grundschutzkompendiums vom 01. Februar 2020 verabschiedet sich auch das BSI von der Forderung der regelmäßigen Passwortänderung.
Seit Jahren hat sich im Sicherheitsbereich die Meinung durchgesetzt, dass ein gut gewähltes Passwort auch über eine längere Zeitspanne einen hohen Zugangsschutz bietet.
Eine zu häufige Änderung, z.B. alle 90 Tage, führt nur zu einem erhöhten administrativen Aufwand und zu der Erkenntnis das die neuen Passwörter, seitens der Benutzer, auf farbigen Post-It–Zetteln am Arbeitsplatz hinterlegt werden.
Außerdem geht mit den häufigen Änderungen meist auch eine Schwächung des Sicherheitsniveaus einher, da die Mitarbeiter dazu neigen eine vorhandene Phrase durch einfaches hochzählen zu verändern.
Das amerikanische NIST hat daher schon 2017 die Empfehlung verworfen, Passwörter oft zu wechseln.
Daher unsere Empfehlung: Statt kurzer Erneuerungsintervalle sollten die Mitarbeiter dahingehend geschult werden sichere Passwörter zu benutzen. Allerdings wird geraten auch ein komplexes Passwort mit einem Verfallsdatum zu versehen. Ein Erneuerungsintervall von sechs bis zwölf Monaten ist hier ein empfohlener Richtwert.
