Nachdem die britische Communications Electronics Security Group (CESG) 2016 (https://www.ncsc.gov.uk/pdfs/blog-post/…)
und die US-amerikanische Standardisierungsbehörde NIST 2017 (https://nvlpubs.nist.gov/nistpubs/speci…) von präventiven, regelmäßigen Passwort-Wechsel Abstand genommen haben, folgt das BSI seit der Edition 2020 des IT-Grundschutz-Kompendiums dieser Einschätzung.
CESG, NIST und führenden Sicherheitsexperten haben herausgefunden, dass ein regelmäßiger Passwortwechsel nicht zu einer Erhöhung der Sicherheit beiträgt. Sichere Passwörter, z.B. längere (Passphrase) oder komplexe, werden bedingt durch einen regelmäßigen erzwungenen Passwortwechsel oft aufgeschrieben oder unsicherer gestaltet, da sich die Anwendenden die Passwörter nicht mehr merken können. Dadurch führt diese Maßnahme insgesamt zu "schwächeren" Passwörtern.
Aus diesem Grund sollte auf einem zeitgesteuerten Wechsel des Passwortes verzichtet werden und stattdessen das Passwort nur aus einen validen Grund gewechselt werden, z.B. im Fall einer Kompromittierung. Dazu sind entsprechende Maßnahmen zu ergreifen, um eine Kompromittierung zu erkennen. Wir können nicht für jedes Szenario und Hard-/Software-
Architektur konkrete Maßnahmen zur Erkennung einer Kompromittierung von Passwörtern zusammenstellen. Allgemeine Hinweise und Maßnahmen zur Erkennung einer Kompromittierung sind in den entsprechenden Umsetzungshinweisen zum Baustein zu finden (https://www.bsi.bund.de/DE/Themen/Unter… umsetzungshinweise_node.html):
Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen, z. B. parallele Anmeldungen von verschiedenen Systemen oder Standorten, Häufung von Fehleingaben und so weiter. So kann bspw. über Protokollierung und die entsprechende Auswertung der Log-Files herausgefunden werden, ob es ungewöhnliche Zugriffe oder Hackingversuche gegeben hat. Hierzu gibt es bei Datenbanken, Betriebssystemen, Webservern und anderen Anwendungen z. B. auch spezielle Sicherheitsprodukte.