Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern.
In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die
entsprechende Textpassage gestrichen. Zuerst hatte Heise Security über
die Änderung berichtet. Die BSI-Fachleute raten im
Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein
Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern.
Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge
und Komplexität vorzuschreiben, ist verschwunden.
Seit Jahren
sind viele Sicherheitsfachleute der Ansicht dass solche Regeln eher
schaden als nützen. „Ein gutes Passwort kann man bedenkenlos über Jahre
hinweg nutzen“, schreibt Heise Security. „Das regelmäßige Ändern führt
eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise
nach einem Schema (geheim1, geheim2, ...) erzeugt.“
Dass das Passwort regelmäßig geändert werden sollte, taucht auch nicht
in den Tipps des Hasso-Plattner-Instituts (HPI) auf. Deren Fachleute
halten die Gefahr von unsicheren Passwörtern weiter für hoch. „Schwache
Zahlenreihen wie etwa „123456“ werden viel zu häufig genutzt“, sagte
HPI-Direktor Christoph Meinel. „Viele Internetnutzer verwalten mehr als
hundert Online-Konten – da fällt die Wahl viel zu oft auf Passwörter,
die man sich leicht merken kann.“ Die weit verbreitete Mehrfachnutzung
von Passwörtern für unterschiedliche Dienste sei extrem leichtsinnig,
wenn man bedenke, welche Schäden hierdurch entstehen könnten.
dpa
Keine Kommentare:
Kommentar veröffentlichen