Neue Empfehlung vom BSISein Passwort nicht zu ändern ist o.k. – so muss es aussehen
Besser ein Passwort als viele verschiedene, raten Experten.
Copyright: dpa-tmn/Silas Stein
Köln – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Zuerst hatte Heise Security über die Änderung berichtet.
Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.
„Ein gutes Passwort kann man jahrelang nutzen“
Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht dass solche Regeln eher schaden als nützen. „Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen“, schreibt Heise Security. „Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt“.
Erst kürzlich wurden die beliebtesten Passwörter der Deutschen veröffentlicht – das zeigte abermals, wie schlecht es um guten Passwortschutz in Deutschland steht. Ganz vorne lagen Zahlenkombinationen wie 123456 und 123456789.
Laut BSI machen folgende Kriterien ein gutes Passwort aus:
Sie können es sich gut merken.
Es gilt: Je länger, desto besser – es sollte mindestens acht Zeichen lang sein.
Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen verwenden.
Keine Namen von Familienmitgliedern, Haustieren, Geburtsdaten oder Ähnliches.
Das Passwort sollte nicht in Wörterbüchern vorkommen.
Einfach nur ein Sonderzeichen an ein einfaches Passwort anhängen genügt nicht.
Nutzen Sie ein Passwort-Manager. So müssen Sie sich ohnehin nur ein Passwort merken.
Das könnte Sie auch interessieren:
Sicherheitsexperte Prof. Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: „Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat.“ In den USA gilt es bereits seit 2017 als Standard, nur ein Passwort zu verwenden, in Großbritannien bereits seit 2016. (dpa/mm)