Märchen vom regelmässigen Kennwortwechsel

Es begab sich zu einer Zeit als jeder Mann und jede Frau im Königreich ……

Genauso würde ein Märchen beginnen in dem wir unseren Kindern später erklären warum es mal eine Zeit gab in der man regelmäßig seine Kennwörter ändern musste. Was genau der Sinn darin sein sollte ist mir bis heute unklar. Ein unsicheres Kennwort ist ein unsicheres Kennwort. Da hilft es auch nicht wenn ich das regelmäßig gegen ein neues unsicheres Kennwort tausche.

Und es gibt immer noch “Ratgeber” die dies fordern oder empfehlen. Im Gegensatz dazu wird dies inzwischen sogar vom amerikanischen Institut für Standards Nist und vom BSI nicht mehr gefordert.

Das NIST schreibt

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).

Beim BSI heist es

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.

Bei Kennwörter gibt es für mich folgende zwingenden Regeln

  • Für jede Anwendung ein Kennwort
  • mindestens 15 Zeichen lang
  • Passwort Manager verwenden
  • 2 Faktor Anmeldungen wo immer es geht
Blaubart