Lange Zeit galt es als Grundregel, dass sichere Passwörter nur dann sicher sind, wenn sie regelmäßig geändert werden. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl bislang einen regelmäßigen Austausch von Passwörtern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums ist dieser Ratschlag nun nicht mehr zu finden. Nur, wenn das Passwort vermeintlich kompromittiert wurde, sei eine schnelle Änderung angebracht. Das vorsorgliche Austauschen im Turnus scheint nach Ansicht des BSI aber nicht mehr notwendig zu sein. An den bisherigen Vorgaben zur Länge und Komplexität scheint das BSI ebenfalls nicht mehr festzuhalten. Derartige Grundsätze führen speziell in Unternehmen häufig dazu, dass Nutzer ohnehin schon schwache Passwörter lediglich an einer Stelle änderten.
Interessant ist, wie lange die deutsche Behörde für diese Einsicht gebraucht hat. Das regelmäßige Ändern des Passworts wurde von der US-Standardisierungsbehörde NIST schon 2017 aufgegeben. Das für Großbritannien zuständige CESG kehrte sogar schon ein Jahr davor von dieser Vorgabe ab. Nun scheint auch das BSI erkannt zu haben, dass ein ausreichend sicheres Passwort ruhigen Gewissens über Jahre hinweg verwendet werden kann. Eine gewisse Komplexität und die Nutzung von Sonderzeichen sind jedoch die Grundlage für schwer zu erratende Passwörter. Eine regelmäßige Änderung hingegen scheint nicht nötig zu sein.
Was passieren kann, wenn das Postfach einer Botschaft mit dem Passwort "123456" gesichert ist, können Sie hier nachlesen.