Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Anforderungen an den IT-Grundschutz in Deutschland verantwortlich. In der nun veröffentlichten aktuellen Version des Grundschutzkompendiums wird von einem rein zeitlich gesteuerten Wechsel der Passwörter abgeraten.
Die BSI-Standards liefern zum IT-Grundschutz bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium formuliert konkrete Anforderungen. Bislang lautetet die Empfehlung des BSI, Passwörter regelmäßig zu wechseln. In der aktuellen Version des Grundschutzkompendiums ist davon nicht mehr die Rede, im Gegenteil: “IT-Systeme oder Anwendungen sollten nur mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel sollten vermieden werden”, heißt es im Kapitel Identitäts- und Berechtigungsmanagement (ORP4 A23).
Ein Wechsel des Passworts sei aber notwendig, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht, zudem dürfe ein Passwort nicht mehrfach verwendet werden, legt das BSI fest. Es sei für jedes IT-System und jede Anwendung ein eigenständiges Passwort einzusetzen, schreibt das BSI vor.
Die Professorin Lorrie Cranor, früher Chief Technologist bei der Federal Trade Commission (FTC) hat in dieser Position schon im Jahr 2016 bei einer Security Conference in Las Vegas den Sicherheitsnutzen von häufigen, verpflichtenden Passwortwechseln in Frage gestellt. Das Problem bei diesen Wechseln sei, dass Nutzer dazu neigen, ihre Passwörter nach bestimmten Mustern zu ändern. Insgesamt betrachtet werden die Passwörter damit schwächer, so Cranor.






Das Problem beim zeitgesteuerten Passwortwechsel ist, dass den Usern die Faantasie ausgeht, welches Password sie nutzen solllen. Daher legt dieser Wechsel, den Zeitpunkt fest, wo eine Ziffer am Ende des Passworts inkrementiert wird.
Wurde herrrlich beim CCC erklärt.