BSI rückt von bisherigen Empfehlungen zum Passwortwechsel ab

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) taucht bei uns im Blog immer mal wieder auf. So hat die Behörde für die Anwender immer mal wieder mehr oder minder hilfreiche Tipps auf Lager. Kritisiert wurden da bis vor kurzem die Empfehlungen im Bezug auf sichere Passwörter. Dem wirkt man nun entgegen und aktualisiert seine Tipps für Nutzer.

Bisher hatte das BSI Anwendern angeraten möglichst lange Passwörter mit Sonderzeichen zu verwenden und sie auch regelmäßig zu ändern. Sicherheitsexperten hielten von dieser Empfehlung aber gar nicht mal so viel. Nun hat man seinen Rat zur Komplexität gestrichen und empfiehlt außerdem auch nur noch Kennwörter zu ändern, wenn sie möglicherweise in fremde Hände geraten sein könnten. Doch warum wurden denn die bisherigen Tipps kritisch gesehen?

Nun, wie Menschen nun mal so sind: Wenn sie ihr Passwort oft verändern müssen, neigen sie eher dazu sich stets ohnehin sehr ähnliche Passwörter zu suchen. An ein „12345“ wird dann eben noch eine „6“ drangehängt. Denn man hat keine Lust sich stets etwas Neues zu merken. Regelmäßiges Verändern erhöht also eher die Wahrscheinlichkeit, dass schwache Passwörter gewählt und minimal angepasst werden. Wer wiederum einmal ein starkes Passwort ausgewählt hat, kann das problemlos auf lange Sicht verwenden – solange keine Gefahr besteht, dass es entwendet wurde.

Wir hatten dazu ja auch letztes Jahr mal einen Artikel, der die beliebtesten Passwörter in Deutschland aufgezeigt hat. Die Rangliste wird von „123456“ angeführt und beinhaltet nur schwache Passwörter. Wer gerne für jeden Dienst ein eigenes Passwort verwenden möchte, was durchaus anzuraten ist, sollte vielleicht einen Passwort-Manager einspannen, um all seine Kennwörter sauber zu organisieren. Auch hier im Blog stehen wir da ja immer wieder unterschiedliche Lösungen wie 1Password vor.

Falls ihr kontrollieren wollt, ob es vielleicht an der Zeit ist eure Passwörter zu ändern – schaut bei der allseits bekannten Adresse Have I been pwned vorbei.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. Das nervt tatsächlich und wäre von Apple und Microsoft ziemlich einfach zu lösen wenn sie vernünftig und praktikable doorman Systeme einführen würden.

  2. Ich habe überall wo es möglich war 2FA aktiviert und schaue seitdem geklauten Passwörtern gelassen entgegen

  3. Vielmehr sollten Nutzer sicherstellen, für jeden Online-Service ein von anderen Logins abweichendes Passwort zu verwenden. Die häufigsten Probleme dürften auftreten, wenn ein Dienst kompromittiert wurde und Tür und Tor für andere Portale geöffnet sind…

  4. Sehr interessant. Das BSI ändert sinnvolle Empfehlungen, weil sich die User nicht daran halten? Denn „123456“ ist doch sicher kein komplexes Passwort. Wenn die Empfehlungen lauteten, „nehme ein langes und komplexes Passwort und ändere es regelmäßig“, dann gibt es doch nichts daran auszusetzen.

    Das wäre ja so, als ändere die DGE ihre Ernährungsempfehlungen für eine ausgewogene Ernährung, weil Menschen dazu tendieren, leckere, aber ungesunde Nahrung zu sich zu nehmen. Mag sein, das ändert hier wie da aber nichts an der sinnvollen Empfehlung.

    • Nein,
      ich denke Du hast das falsch verstanden.
      Fazit ist starkes Password wichtig, regelmäßige Änderung weniger wichtig.

      Für das regelmäßige Ändern gibt es laut Ansicht vieler Experten keinen Grund, solang der Dienst oder das Password nicht kompromittiert wurde und das Password ausreichend stark ist.
      Wenn man das als gegeben voraussetzt, führt die Empfehlung, es doch regelmäßig zu ändern oder der von der IT erzwungene Wechselturnus bei bequemen Nutzern eher zu schwächeren oder dienstübergreifend verwendeten Passwörtern und ist daher eher hinderlich.

      • Sehr richtig. Die Hauptgefahr ist, dass Anwender, die ständig ihr Passwort ändern müssen, dieses schwächen, beispielsweise durch Aufschreiben, durchnummerieren, was auch immer. Daher: Wenn ein Passwort nicht abgegriffen wurde und „sicher“ ist, nach was auch immer das definiert ist, bringt Ändern keinen zusätzliche Sicherheit.

        • Wenn die Experten von 100%igem Wissen ausgehen, können sie trefflich argumentieren, dass ein Wechseln des Passworts in regelmäßigen Abständen nicht sinnvoll ist. Dann sollten sie sich aber mal mit einem Sozialwissenschaftler über Informationsaufnahme, Filtermechanismen und soziale Kommunikation unterhalten. Wir treffen tagtäglich etliche Entscheidungen auf der Basis nicht vollständigen Wissens. Und daher ist auch die Schlussfolgerung, dass ein Ändern des Passworts nur bei Wissen über dessen Kompromittierung nötig ist, eine schlechte Empfehlung. Denn dieses Wissen hat man im Zweifelsfall nicht.

          Und nochmal: wenn man einem Bauarbeiter empfiehlt, zuerst die Decke eines Hauses zu entfernen und danach die tragenden Wandteile, er aber als erstes die Wandteile entfernt, so war die Empfehlung nicht schlecht, sie wurde lediglich nicht korrekt befolgt.

  5. GooglePayFan says:

    Oh man endlich. Meine Argumentation ist seit fast 10 Jahren, dass häufiges zwangsweise Ändern von Passwörtern nur dazu führt, dass die per Stickynote am Monitor landen…

    Besser noch wäre es, wenn man den Login an das Vorhanden sein der in den meisten Firmen ohnehin vorhanden Personalausweise/Keycards knüpft.

  6. Ihr immer mit eurem sch**ss 1Password. Wer bitte speichert freiwillig seinen Passwörter (immerhin das sensibelste und wichtigste was man hat) auf fremden Servern?

    • RegularReader says:

      Ich.
      Zwar nicht direkt 1Password, aber ein vergleichbarer Dienst. Die Daten liegen dort verschlüsselt rum, viel Spaß damit. 🙂

    • Wenn man mit mehr als einem Gerät arbeiten und unabhängig von Gerät, Plattform und Ort darauf zugreifen möchte, kann das schon sinnvoll sein.

    • Wo ist denn das Problem? Die Passwörter sind sehr sicher verschlüsselt. Ich geb dir gerne meine Passwortdatenbank. Viel Spaß damit. Du hast das System nicht verstanden.

    • Ich nutze zwar nicht 1Passworf sondern einen ähnlichen Dienst. Der speichert die Passwörter verschlüsselt in der Cloud.
      Vorteil: Wenn ich das Handy wechsle, sind die Passwörter nach dem Einspielen des Backup wieder da.
      Dafür genieße ich den Vorteil, auf die Passwörter geräteübergreifend zugreifen zu können. Und für jeden Dienst ist ein Passwort hinterlegt. Die zu knacken braucht ordentlich Rechenpower.
      Und zusätzlich noch 2FA, wo es geht.

  7. Hat jemand das ernsthaft mitgemacht?! So’n bullshit!.. F3ettes Passwort + 2FA, Hirn einschalten, 2 Mal denken/ 1 Mal klicken und gut ist!

  8. Naja, halte ich irgendwie gar nicht mal für so gut.
    Durch regelmäßige (heißt ja nicht alle 2 Wochen) Änderung der Passwörter senkt eben die Wahrscheinlichkeit, dass eines der aktuellen Passwörter mal geleakt wird.
    2FA sollte eh immer genutzt werden, wenn möglich. Dann noch für jeden Dienst ein eigenes Passwort – und gut ist.

    Baue mir z.B. für jeden Dienst einen entsprechenden Satz und nutze die Anfangsbuchstaben. Damit generiert man einfach ein langes, komplexes Passwort, welches leicht zu merken und schwer zu bruteforcen ist.
    Beispiel: „ich heiße Max Muster und schreibe bei Caschys Blog seit 2009!“ –> ihMM&sbCBs2009! –> feddisch 🙂
    Das kann man dann auch leicht abändern, in dem Man Teile des Satzes umbaut oder mit den Zahlen spielt.

    • RegularReader says:

      Wenn man sich dann noch merken kann welchen Satz man nun genau genutzt hat und welches Zeichen man wie geschrieben hat. Gerade bei DIensten bei denen man das Passwort seltener eingeben muss kann es schnell kritisch werden.
      Habe so viele Logins, ich bleibe bei meinem zufällig generierten PWs im PW-Manager. ^^ Habe bei jedem Dienst eine andere Email, ein zufälliges PW und wenn möglich 2FA.

      • Das mit der eigenen Mail-Adresse für jeden Dienst nutze ich auch – wobei nicht das von Google eingeführte Name+Irgendwas@… gemeint ist, sondern echte Aliase im Mail-System. Das hat noch den Vorteil, dass man so weitestgehend Spam vermeiden kann:

        Sollte die Adresse mal auf einer Liste landen und man bekommt Spam, kann man anhand der Adresse identifizieren, wo es wohl das Leck gab. Dann erstellt man einfach eine neue Adresse, ändert es beim Dienst und löscht den alten Alias. Ruhe.

  9. In Zeiten von Passwort-Managern ist das Ändern des Passworts aber schon nicht verkehrt – gerade wenn man bei einem Dienst angemeldet ist, der 2FA nicht unterstützt: Man muss es sich nicht merken und kann deshalb schön lange Sonderzeichen-Großbuchstaben-Zahlen-Kombinationen verwenden. Das kann einem im Fall von Datenklau eventuell schon den Hintern retten.

    Apropos: Da betonen immer alle, wie toll Passwort-Manager sind, weil man damit wirklich sichere Passwörter generieren und nutzen kann – und dann lassen sie ihr TOTP direkt von KeePass oder Enpass generieren.

    Macht sowas bitte nicht!

    • Kann man doch machen. Sollte natürlich nicht die gleiche KeePass oder was auch immer Datenbank sein, weil man sonst seinen zweiten Faktor verliert. Aber es spricht nicht viel dagegen, eine DB mit Passwörter und eine mit OTPs zu haben.

      Natürlich ist ein zweites Gerät, z.B. ein USB-Stick oder Handy, besser, aber zwei KeePass-DBs sind schon mal besser als kein zweiter Faktor.

  10. Linus Neumann hat in einem Talk auf dem 36C3 in etwa gesagt „in jeder größeren Firma gibt es eine Policy die den Mitarbeitern vorschreibt, alle 90 Tage die Zahl am Ende ihres Passworts um eins zu inkrementieren“.
    Meine Frau hat mich ziemlich doof angekuckt, als ich da plötzlich laut loslachen musste :-).

    • Hätte ich wohl auch, aber eher deshalb, weil die meisten Mitarbeiterinnen und Mitarbeiter nicht wissen, was „inkrementieren“ bedeutet … 😉

  11. Rainer Reitz says:

    Es gibt leider genügend Systeme, die einen regelmäßigen Passwort-Wechsel erzwingen und zudem prüfen, ob die letzten Passwörter dem neu vergebenen entsprechen oder ähneln. Aus der Verzweiflung heraus vergeben dann viele Nutzer ein Passwort, das sie sich gut merken können und hängen z. B. ein paar Zahlen hinten dran, die sie dann beim nächsten Zwangwechsel inkrementieren. Deshalb ist der Ratschlag, je System ein „sicheres“ Passwort (nach bekannten Regeln) zu vergeben und – falls möglich – 2FA zu aktivieren, schon richtig – aus meiner Sicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.