BSI-Empfehlung: Abschied vom regelmäßigen Passwort-Wechsel

Endlich hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie Zeichen der Zeit erkannt und ihre Empfehlung, Passwörter regelmäßig zu wechseln, der Realität angepasst:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ORP/ORP_4_Identit%C3%A4ts-_und_Berechtigungsmanagement.html?nn=10137172#doc10095784bodyText12

Das BSI rät nun dazu, das Passwort erst dann zu wechseln, wenn es in falsche Hände geraten sein könnte.

Weiterhin wurden die Empfehlungen für Komplexität (yeah!) und Länge (Aber wieso???) aus dem Dokument entfernt.

Machen Sonderzeichen in Passwörtern ein Passwort sicherer?

Hier ist ein interessanter Artikel auf englisch über den Erfinder der üblichen Passwort-Richtlinien „Passwörter sollen Sonderzeichen wie z.B. $%&! enthalten sein, damit die Passwörter sicherer werden“. In dem Artikel räumt Bill Burr ein, dass diese Richtlinie die Sicherheit der Passwörter NICHT erhöht:

https://gizmodo.com/the-guy-who-invented-those-annoying-password-rules-now-1797643987#1502254353752

https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118

Bill Burr ist der Autor der Richtlinie “NIST Special Publication 800-63. Appendix A.”, sie empfiehlt Großbuchstaben und Sonderzeichen in Passwörtern zu verwenden und diese Passwörter regelmäßig zu ändern. Mittlerweile distanziert sich B. Burr vom Inhalt dieser Richtlinie, da sie die Passwortsicherheit erwiesenermaßen nicht erhöht.