Bisher galt die Regel: Passworte regelmäßig ändern ist gut. In vielen Systemen werden User regelmäßig dazu gezwungen.
Heute wissen wir: Das regelmäßige Ändern von Passwörtern ist problematisch -- aus gleich mehreren Gründen:
Die University of North Carolina (UNC) hat festgestellt, dass der erzwungene Wechsel des Passworts vielfach nur Variationen des ursprünglichen zur Folge hatte. Solche Varianten sind für Skripte und Algorithmen sehr leicht vorherzusagen. Auch andere Studien haben gezeigt, dass derartige Passwortwechsel Eindringlingen kaum das Lebenschwerer machen -- wohl aber den Nutzern: Und das steht in keinem Verhältnis zu einem lediglich gefühlten Mehr an Sicherheit.
Aus diesem haben haben die Aufsichtsbehörden und das BSI (Bundesamt für Sicherheit in der Informationstechnik) nun eindeutig klargestellt: Der Zwang zum Passwortwechsel muss entfallen.
Was heißt das für unseren Passwort-Schutz?
- Der Passwort-wechsel-Zwang muss entfernt werden.
- Es müssen Maßnahmen ergriffen werden, um kompromittierte Passworte zu erkennen.
Solche Passworte dürfen nicht mehr zugelassen werden.
In diesem Fall ist Passwort-Wechsel-Zwang hilfreich und MUSS durchgesetzt werden. - Und natürlich muss in einem solchen Fall der Benutzer proaktiv informiert werden.
Und genau das haben wir umgesetzt: Alle unsere Systeme sind nun aktualisiert und werden sukzessiv entsprechend ausgerollt.
Dazu haben wir ein zentrales System aufgesetzt, mit dem geprüft werden kann, ob ein Passwort kompromittiert ist. Die Daten sind natürlich gehasht, in der Open Telekom Cloud durch uns gehostet und der Zugriff gesichert.
Haben Sie Fragen? Brauchen Sie Hilfe bei der Implementierung eines solchen Prozesses? Fragen Sie uns - wir helfen gerne...!
