BSI: Ein zeitgesteuerter Passwortwechsel sollte vermieden werden

11.
Nov
2019
BSI, Passwort, Passwortwechsel, Sicherheit, zeitgesteuert

Das BSI hat in seinem Final Draft zum IT-Grundschutz den Baustein ORP.4 Identitäts- und Berechtigungsmanagement die Vorgaben zum Passwortwechsel erneut geändert. Ein zeitgesteuerter Passwortwechsel ist zu vermeiden!

Seit das NIST seine ursprüngliche Empfehlung zum regelmäßigen Wechsel eines Passworts (zeitgesteuerter Passwortwechsel) zurückgezogen hat, ist in der IT-Security Landschaft einiges in Bewegung gekommen. Denn in seinem neuen Regelwerk gibt es nun vor, das Passwörter nur noch bei einem konkreten Sicherheitsvorfall geändert werden sollen.

Im Februar 2019 hatte sich daraufhin der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) als einer der Ersten zum Thema Passwortsicherheit geäußert und seine “Hinweise zum Umgang mit Passwörtern” veröffentlicht.

Der “Arbeitskreis Technische und organisatorische Datenschutzfragen” der Datenschutzkonferenz (DSK) zog im März 2019 nach. In seiner Orientierungshilfe: Anforderungen an Anbieter von OnlineDiensten zur Zugangssicherung gab er an, das ein regelmäßiger Passwortwechsel nicht zwingend erforderlich ist.

Microsoft hatte sich im Mai 2019 von seine Kennwortablaufrichtlinie aus der “Security Baseline” verabschiedet (Wir berichteten: Microsoft: Das regelmäßige Ändern von Passwörtern macht sie nicht sicherer.).

Lediglich das Bundesamt für Sicherheit in der Informationstechnik (BSI) hielt bislang an den Vorgaben seines IT-Grundschutz-Kompendium fest. Es empfahl weiterhin, dass Passwörter in angemessenen Zeitabständen geändert werden sollen.


Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme

 

Im Oktober 2019 scheint sich das BSI nun der allgemeinen Meinung anzuschließen. Schließlich ändert es seine Vorgabe zum Wechsel des Passworts im Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement. Folglich soll ein rein zeitgesteuerter Passwortwechsel nun vermieden werden.

ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [ITBetrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.
Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Eine Entwicklung, die sehr begrüßenswert ist – orientiert sie sich doch am gelebten Alltag und berücksichtigt die “Schwachstelle Mensch”.

Der Anwender neigt nun mal nicht dazu, sich alle 90 Tage ein komplexes Passwort in vorgegebener Länge neu auszudenken und dann auch noch zu merken. Vielmehr wird er immer den Weg des geringsten Widerstands gehen wollen und einfach nur Abwandlungen seines bestehenden Passwortes wählen.

Von den Passwort Notizen auf dem Monitor oder unter der Tastatur mal ganz abgesehen.

Es gilt nach wie vor:

  • Wichtig für die Qualität eines Passworts ist die Länge des Passwort!
  • Die Nutzung eines Passwortmanager scheint obligatorischer den je.
  • Mit der Höhe des Risikos sollte die Qualität des Passwort steigen.
  • Ein sicheres Passwort zwangsweise ändern zu müssen ist kontraproduktiv

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This