Zum Inhalt springen
externer Datenschutzbeauftragter

Ende Passwortwechselzwang

Wegfall des Zwangs zum Passwortwechsel

29.06.2021

Gute Passwörter dürfen keine gängigen Lexikon-Begriffe enthalten, sondern zufällige Kombinationen aus Ziffern, Buchstaben und Zeichen sein und eine Mindestlänge von mindestens 12 Zeichen aufweisen. Zudem sollten Sie wo immer möglich die Zweifaktor-Authentifizierung einschalten. Dann kann ein Hacker selbst dann, wenn er Ihr Passwort kennt, nicht auf den damit geschützten Dienst zugreifen.

Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Wegfall des Zwangs zum Passwortwechsel in ihrer nun finalen Fassung des IT-Grundschutz-Kompendiums (PDF Absatz ORP.4.A23)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Somit Ende des Passwortwechselzwang.

Valide Gründe:

1. Änderung des Initial-Passwortes, das ein User z.B. für seine erste Registrierung oder seinen ersten Login erhalten hat.

2. Ein Passwort ist kompromittiert.

Der zweite Fall ist in der Praxis ebenfalls sehr wichtig, zumal es beim BSI dazu ebenfalls heißt:

Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.

Das kann z.B. über den HPI Identity Leak Checker des Hasso-Plattner-Instituts erfolgen.

Eine andere Möglichkeit wäre die have i been pwned? Datenbank, die auch über eine API abgefragt werden kann.