Computersicherheit Auch BSI rät nicht mehr zu regelmäßiger Passwort-Änderung

Stand: 04. Februar 2020, 16:21 Uhr

Schon länger warnen Sicherheitsexperten davor, Passwörter häufig zu ändern. Das führe nur zu schwachen Passwörtern. Nun hat das Bundesamt für Sicherheit in der Informationstechnik seine Empfehlungen angepagsst.

Eine fiktive Eingabemaske für ein Passwort auf einem Computerbildschirm

Passwörter sollen nicht mehr regelmäßig geändert werden. Bildrechte: dpa

Das Bundesamt für Sicherheit in der Informationstechnik, BSI, empfiehlt nicht mehr, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Passage gestrichen.

Passwort-Wechsel nur bei Passwort-Klau

Das BSI rät jetzt nur noch zu einem Wechsel, falls ein Passwort in fremde Hände geraten sein könnte. Das Bundesamt strich auch die Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben.

Regelmäßige Änderung führt zu schwachen Passwörtern

Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht, dass häufiges Ändern mehr schadet als nützt, weil es eher zu einem schwachen Passwort führt.

Heise Security etwa schreibt, das regelmäßige Ändern führe eher dazu, dass man Passwörter eher nach einem Schema - etwa geheim1, geheim2, ... - erzeugt.

BSI braucht sehr lange

Der Sicherheitsexperte Markus Dürmuth von der Ruhr-Uni Bochum lobte den Kurswechsel des BSI. Er sagte, das sei ein wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht habe.