Passwörter sollten wie Unterhosen gewechselt werden. Regelmäßig! So oder so ähnlich hieß es bisher immer. Ich sage das auch so in meinen Vorträgen. Andere IT Sicherheitsexperten sagen das auch. Sogar das BSI, das Bundesamt für Sicherheit in der Informationstechnik sagt das. Oder besser: sagte. Also Vergangenheit, nicht Präsens.
Was ist denn da passiert? Das regelmäßige Ändern eines Passworts verhinderte, dass Angreifer mit einem erbeuteten Passwort auf immer und ewig in das System einbrechen können. Schließlich – und das war der Hintergedanke – bekommt man oft ja gar nicht mit, dass einem das Passwort gestohlen wurde. Die Hacker hätten so quasi unbegrenzt Zeit, sich das System anzusehen, auszuspähen und Daten zu sammeln. Das verhindert man, indem man seine Nutzer zwingt, das Passwort alle paar Monate oder Wochen zu ändern.
Nun weiß ich selbst, dass die Aufforderung zum Wechsel immer zur falschen Zeit kommt. Und zu oft. Vielen Usern ging die Regelung daher auf den Keks. Tatsächlich war auch ich nie ein Freund davon, alle acht Wochen ein neues Passwort vergeben zu müssen. Ich fand (und finde immer noch), einmal im Jahr reicht völlig aus – aus oben genanntem Grund! Warum um alles in der Welt streicht das BSI diese Empfehlung nun komplett aus dem BSI Grundschutz Kompendium 2020? Es folgt damit übrigens seinem amerikanischen Pendant NIST (Empfehlung 2017 gestrichen) und dem britischen CESG (Empfehlung bereits 2016 gestrichen).
Die Antwort ist simpel und richtig. Schon länger sind sich die Experten weitgehend einig, dass strikte Vorgaben eher ein Risiko darstellen. Der Zwang zum häufigen Ändern sorgt dafür, dass User zu Mustern tendieren. Italien#2018, Italien#2019, Italien#2020. Aber auch die Vorgaben, wie ein Passwort aussehen soll, sind vom BSI gestrichen worden. Auch aus gutem Grund. Wenn ein Hacker weiß, dass die Unternehmensvorgaben ein Sonderzeichen oder eine Ziffer, mindestens acht, maximal 14 Stellen vorschreiben, dann ist das eher kontraproduktiv. Bei einer Brute Force Attacke, bei der alle Passwörter durchprobiert werden, spart es immens Zeit, wenn alle Passwörter mit weniger als acht Stellen weggelassen werden können. Ebenso die mit Ziffern und Sonderzeichen.
Der entscheidende Punkt ist, dass das BSI empfiehlt, dass Passwörter nicht mehr in vorgegebenen Intervallen geändert werden müssen. Niemand hat gesagt, dass es unsinnig sei, dass sie hin und wieder geändert werden. Im Gegenteil. Es schadet nicht, ab und zu ein frisches Passwort zu setzen. Genauso wie es sicherlich niemanden stört, dass wir ab und zu eine frische Unterhose anziehen.
Wenn ich den Kollegen hier freie Hand bei der Wahl und dem Zeitpunkt der Passwortänderung geben, dann hat die ganze Firma hier ein lebenlang „4711“ als Passwort. Dann kann ja auch nicht das Ziel sein.
Das BSI sagt aber auch, dass die Passwörter komplex sein MÜSSEN. Also muss ich in Unternehmen doch wieder Vorgaben machen. Zwar nicht zwingend für die Länge, aber zumindest die Art der zu verwendenen Zeichen muss ich erzwingen, also z.B. min. 3 von 4 (Groß/Klein, Zahlen, Sonderzeichen).
Das Thema Sonderzeichen und Zahlen ist doch auch Blödsinn, wieso 3 aus 4? Ein Passwort „xlyozU1!“ ist unsicherer als ein Passwort „buchsuppehausvulkangruen“, obwohl man sich letzteres seht viel besser merken kann (Und man kann es sogar auf einen Blick in den Passwortkeeper im Handy eintippen)…
Die gesamte IT kommt doch so oder so in einer Tour ins Schwimmen oder Schwitzen.
Das sind die Konsequenzen: http://www.it-zoom.de/it-director/e/kurz-vor-dem-burnout-24335/
Nachfolgend werden auch die Unternehmen ins Schwitzen kommen, weil durch die enormen Datenmengen-Steigerungen auch die Betriebskosten durch die Decke gehen werden. Gewinne ade.
Digitale Transformation ist ein Elend, und die jungen Generationen und ihr Verhalten gleich mit.