Passwörter: BSI ändert die Regeln für Passwort-Wechsel

Udo Günter Bootsch

„Passwörter sollte man in regelmäßieg Abständen ändern“ wurde oft von ITlern, Führungskräften und dem BSI geraten Diese Regel wurde 2020 vom BSI nun wiederrufen. Die 2020er-Ausgabe des BSI-Grundschutz-Kompendiums enthält im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) keine Empfehlung mehr für den regelmässigen Passwort-Wechsel. Nur für den Fall, dass ein Passwort in fremde Hände geraten ist, muss man sein Passwort gemäß BSI-Richtlinien noch ändern und auch sollte. Auch feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden und ganz langsam kristallisiert sich in der IT-Security Szene eine Richtung heraus.

Ein gutes Passwort kann und sollte man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt leider dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (123456, windows0234, …) setzt. Deshalb sollte man lieber ein langes Passwort und merkbares Passwort nehmen.

Die US-amerikanische Standardisierungsbehörde NIST, die das regelmäßige Passwortwechseln ursprünglich festgeschrieben hatte, nahm bereits 2017 von derartigen Regeln raus und auch das britische CESG hat 2016 diese Regelung nicht mehr Empfohlen.