Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat im Februar 2020 in seinem IT-Grundschutz-Kompendium unter ORP.4.A23 eine viel beachtete und diskutierte Aussage zum Passwortwechsel getroffen:
Die Empfehlung des BSI zum Passwortwechsel
Soll man jetzt noch regelmäßig Passwörter wechseln oder nicht?
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.
Bäääm! Das BSI empfiehlt, Passwörter nicht mehr zu wechseln! Und das amerikanische NIST (National Institute of Standards and Technology) stößt mit seiner “Special Publication 800-63B” ins gleiche Horn: “Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).”
Waren all unsere unsäglichen Passwortwechsel umsonst? In Security-Kreisen wird fast nichts so intensiv diskutiert wie dieses Thema. Anbieter von Analyse-Tools für Passwortkomplexität haben die Aussagen des BSI fett auf ihre Homepages gestellt und Kunden schreiben uns an und fragen, warum wir in unseren Security Awareness Videos immer noch einen Passwortwechsel propagieren.
Nun… Zum einen, weil wir uns aus solchen Publikationen nicht nur den Teil rauspicken, der uns gefällt. Und zum anderen, weil wir in Assessments und Incidents live erleben, wie Passwörter abhanden kommen.
Passwortwechsel ist sinnvoll
Zuerst einmal zum „Cherry Picking“. Der direkt nächste Satz im vielzitierten BSI Absatz lautet nämlich:
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.
Und hier wird es spannend. Wie soll man denn bitte Maßnahmen ergreifen, um die Kompromittierung von Passwörtern zu erkennen? Und wann ist denn ein Passwort kompromittiert? Wenn es bei HaveIbeenpwned steht? Oder auf GitHub in der Liste der Top 100.000 geknackten Passwörter im Internet zu finden ist? Oh ja, das könnte man wohl als kompromittiert bezeichnen!
Aber was ist mit Passwörtern, die uns Anwender in Social Engineering Assessments am Telefon geben, weil sie glauben, dass wir der IT Helpdesk sind? Was ist mit Passwörtern, die Benutzer auf Phishing Seiten eingeben, weil sie davon überzeugt sind, sich gerade bei Office 365 anzumelden? Da können die Passwörter so komplex sein, wie sie wollen: sie sind trotzdem weg! Und wir kennen auch kein Tool, dass solche Kompromittierung erkennen würde.
Es ist schon richtig:
Wenn User komplexe Passwörter verwenden würden und diese nicht an den falschen Stellen eingeben oder anderweitig weitergeben würden, dann gäbe es in der Tat keinen Grund mehr für erzwungene Passwortwechsel.
Der Satz enthält halt leider bis auf weiteres viel wenn und Konjunktiv.
Solange Passwörter als Single-Faktor verwendet werden, kann eine Kompromittierung einfach nie ausgeschlossen werden. Deshalb sind die Aussagen von BSI und NIST relativ nichtssagend und werden im Folgesatz eigentlich auch gleich wieder aufgehoben. Aber sie haben eine spannende Diskussion angeregt und das ist vielleicht auch gut so.
Wir empfehlen unseren Kunden aktuell einen langen Wechselzyklus (z.B. 180 Tage), aber nach wie vor einen Wechsel der Passwörter. Dazu empfehlen wir den konsequenten Einsatz von Multifaktor-Authentifizierung. Das ist ein wirklich wichtiger Schritt zu mehr Sicherheit.
Und in Verbindung mit einem guten Passwortmanager tut ein halbjährlicher Passwortwechsel für die Kernsysteme auch nicht mehr wirklich weh.