Unterlagen/Gründe für das verändern der Passwortpolicy
Sehr geehrte Damen und Herren,
vor einigen Jahren hat das BSI seine Empfehlung bezüglich regelmäßiger Passwortwechsel angepasst. Im aktuellen Grundschutzkompendium liest sich das so:
"IT-Systeme oder Anwendungen SOLLTEN nur mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Ab-
ständen gewechselt werden."
Haben Sie Unterlagen, die die konkreten Nachteile von rein zeitgesteuerten Passwortwechseln aufzeigen?
Gibt es Unterlagen, die diese hier hervorgehende Abwägung von Vor- und Nachteilen irgendwie etwas weiter ausführen?
Gibt es Unterlagen über konkrete Maßnahmen, die Sie als zu ergreifen ansehen, um die Kompromittierung zu erkennen?
Ergebnis der Anfrage
Nachdem die britische Communications Electronics Security Group (CESG) 2016 (https://www.ncsc.gov.uk/pdfs/blog-post/…)
und die US-amerikanische Standardisierungsbehörde NIST 2017 (https://nvlpubs.nist.gov/nistpubs/speci…) von präventiven, regelmäßigen Passwort-Wechsel Abstand genommen haben, folgt das BSI seit der Edition 2020 des IT-Grundschutz-Kompendiums dieser Einschätzung.
CESG, NIST und führenden Sicherheitsexperten haben herausgefunden, dass ein regelmäßiger Passwortwechsel nicht zu einer Erhöhung der Sicherheit beiträgt. Sichere Passwörter, z.B. längere (Passphrase) oder komplexe, werden bedingt durch einen regelmäßigen erzwungenen Passwortwechsel oft aufgeschrieben oder unsicherer gestaltet, da sich die Anwendenden die Passwörter nicht mehr merken können. Dadurch führt diese Maßnahme insgesamt zu "schwächeren" Passwörtern.
Aus diesem Grund sollte auf einem zeitgesteuerten Wechsel des Passwortes verzichtet werden und stattdessen das Passwort nur aus einen validen Grund gewechselt werden, z.B. im Fall einer Kompromittierung. Dazu sind entsprechende Maßnahmen zu ergreifen, um eine Kompromittierung zu erkennen. Wir können nicht für jedes Szenario und Hard-/Software-
Architektur konkrete Maßnahmen zur Erkennung einer Kompromittierung von Passwörtern zusammenstellen. Allgemeine Hinweise und Maßnahmen zur Erkennung einer Kompromittierung sind in den entsprechenden Umsetzungshinweisen zum Baustein zu finden (https://www.bsi.bund.de/DE/Themen/Unter… umsetzungshinweise_node.html):
Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen, z. B. parallele Anmeldungen von verschiedenen Systemen oder Standorten, Häufung von Fehleingaben und so weiter. So kann bspw. über Protokollierung und die entsprechende Auswertung der Log-Files herausgefunden werden, ob es ungewöhnliche Zugriffe oder Hackingversuche gegeben hat. Hierzu gibt es bei Datenbanken, Betriebssystemen, Webservern und anderen Anwendungen z. B. auch spezielle Sicherheitsprodukte.
Anfrage teilweise erfolgreich
-
Datum18. Februar 2023
-
22. März 2023
-
Ein:e Follower:in
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!