"Passwörter sollte man regelmäßig ändern" ist kein sinnvoller Ratschlag. Zu dieser Ansicht hat sich jetzt offenbar auch das BSI durch gerungen. Die 2020er-Ausgabe des BSI-Grundschutz-Kompendiums enthält im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) jedenfalls keine diesbezügliche Empfehlung mehr. Lediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Bereits seit Jahren kristallisiert sich in der Security-Community ein Konsens heraus, dass solche Regeln eher schaden als nützen. Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt. Deshalb argumentiert etwa heise Security schon lange gegen die pauschale Verpflichtung zum regelmäßigen Passwortwechsel und Aktionismus wie den "Ändere dein Passwort"-Tag.

Deutsche Mühlen mahlen langsam

"Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat", erklärt Prof. Markus Dürmuth, der an der Ruhr-Uni Bochum unter anderem zu Themen wie benutzerfreundlicher Authentifizierung und Passwort-Sicherheit forscht.

Die US-amerikanische Standardisierungsbehörde NIST, die das regelmäßige Passwortwechseln ursprünglich festgeschrieben hatte, nahm bereits 2017 von derartigen Regeln Abstand, das britische Pendant CESG sogar schon 2016. Beim BSI dauert sowas etwas länger, was man auf die Gründlichkeit deutscher Behörden schieben kann. (ju)