BSI Empfehlung – Kennwörter müssen nicht mehr lang sein

Geschrieben von Matthias Hinrichs, veröffentlicht am 07.02.2020

Zu Beginn dieses Monats veröffentlichte das Bundesamt für Sicherheit in der Informationstechnologie (kurz BSI) eine aktualisierte Fassung des ITGrundschutz Kompendiums. Dieses beleuchtet alle sicherheitsrelevanten Aspekte der Informationstechnologie und trifft Empfehlungen zum Schutz dieser. In der neuen Version wurde vor Allem der Leitfaden bezüglich der Verwendung von Passwörtern angepasst. 

Abkehr von vorgegebener Zeichenlänge und regelmäßigem Austausch 

Bisher galt in Bezug auf Passwörter vor Allem folgendes: Je mehr Stellen (mindestens acht, besser noch deutlich mehr) und Zeichen (auch Zahlen und Sonderzeichen), desto besser. Auch sollte ein Passwort nach einem bestimmten Zeitraum, etwa drei Monaten ausgetauscht werden. Schon länger stand diese Empfehlung aber als praxisfern und zu umständlich in der Kritik: Zu viele Vorgaben und die regelmäßige Änderungspflicht führen eher zu starren, leicht dekodierbaren Passwörtern. Zudem zeigen Studien, dass die meisten Nutzer trotz oder gerade wegen solch strenger Empfehlungen wenig Kreativität zeigen; gemäß einer Studie des Hasso Plattner Instituts ist unangefochten 123456 das Lieblingspasswort der Deutschen. Vielen scheint die Verwendung komplizierter Kombinationen schlicht zu aufwändig zu sein 

Was wird stattdessen empfohlen? 

Um der Passwortmüdigkeit entgegenzuwirken kehrt das BSI nun ab von starren Vorgaben. Stattdessen wird auf Passwörter “geeigneter Qualität, die nicht leicht zu erraten und mit vertretbarem Aufwand wiederverwendbar sind” abgestellt. Wie wir an dieser Stelle bereits einmal ausgeführt haben und auch schon immer empfehlen, sollten Passwörter idealerweise aus 12 Zeichen bestehen, dabei aber aussprechbar sein und mindestens 2 Ziffern enthalten. 

Zum Austausch von Passwörtern rät das BSI erst dann, wenn diese unautorisierten Personen bekannt geworden sind, oder zumindest der entsprechende Verdacht besteht. Der regelmäßige Austausch wird vom BSI also nicht mehr per se empfohlen. Diesem Vorgehen folgen auch wir als Beratungsunternehmen.  

Sollten Sie weitere Fragen rund um das Thema Passwortsicherheit haben, treten Sie gerne mit uns in Kontakt!