Ein gutes Passwort ist und bleibt ein gutes Passwort!

"Passwörter sollte man regelmäßig ändern"

wurde jahrelang als präventive Maßnahme vom BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Schutz von Daten empfohlen. Diese Ansicht hat sich geändert - jetzt schließt sich das BSI den Empfehlungen der NIST (US-amerikanische Standardisierungsbehörde) und dem britischen Pendant CESG an.

In der 2020er-Augsabe des BSI-Grundschutz-Kompendiums enthält das Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) jedenfalls keine diesbezügliche Empfehlung mehr. Lediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Seit Jahren kristallisiert sich in der Security-Szene ein Konsens heraus, dass solche Regeln eher schaden als nützen. Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (Server1, Server2 etc...) erzeugt.

gutes passwort dsgvo

Trotz alledem – beim Passwort ist immer noch mehr als Vorsicht geboten!

Auch wenn es vom BSI jetzt keine Vorgaben mehr über Länge und Komplexität von Passwörtern gibt, sollte man bedenken, dass für sichere Passwörter schon ein paar Kriterien erfüllt sein müssen.

Hier ein Beispiel für Dos und Don’ts:

Dont´s

Sie haben ein 6-stelliges Passwort bestehend aus lauter Kleinbuchstaben, dann ist mit einer aktuell auf dem Markt verfügbaren CPU das Passwort innerhalb von ca. 7 Sekunden zu errechnen.

Do´s

Besteht gleiches Passwort aber aus Klein- und Großbuchstaben sowie Zahlen, dann dauert es schon rund 21 Minuten. Bei 7-stelligen Passwort nach gleichem Aufbau ca. 22 Stunden und bei einem 8-stelligen würde gleiche CPU ca. 2 Monate brauchen. Für ein 10-stelliges fast 600 Jahre!

Fazit:

Ein gutes Passwort hat die richtige Mischung aus Komplexität, Länge und Individualität! So machen Sie den Hackern das Leben schwer!

Brauchen Sie Unterstützung dabei, wie Sie Datenschutz und Informationssicherheit in Ihrem Unternehmen sicherstellen können? Hierbei ist oft eine neutrale Sicht von außen äußerst hilfreich. Sprechen Sie mit unseren Experten!

Robert Schneid-Karl

Datenschutzbeauftragter
E-Mail: robert.schneid-karl@dsadvice.de

KONTAKT

Beratungstermin vereinbaren.