Die IT-Abteilungen vieler Firmen und Behörden zwingen Nutzer zu regelmäßigen Wechseln ihrer Passwörter; die britische CESG rät davon ab.

Die britische Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, rät IT-Abteilungen davon ab, regelmäßige Änderungen von Passwörtern zu erzwingen. Das führe in der Praxis nicht zu höherer Sicherheit, unter anderem weil sich daraus neue Risiken ergäben.

Sichere Passwörter dürfen nicht leicht zu knacken sein, sind deshalb recht lang und lassen sich nicht leicht merken. Wenn die IT-Administration die Wahl sicherer Passwörter erzwingt und auch noch deren häufigen Wechsel, dann reagieren mehr Nutzer darauf, indem sie Passwörter notieren, sie auch für andere Dienste verwenden oder beim erzwungenen Wechsel nur minimale Änderungen vornehmen. Ein zwangsweise neu gewähltes Passwort ähnelt also oft dem vorherigen. Das können sich Angreifer zu Nutze machen, meint die CESG. Hinzu kommen laut CESG noch höhere Support-Kosten, weil die Service-Abteilung häufiger vergessene Passwörter zurücksetzen muss.

Statt häufig Passwortwechsel zu erzwingen, sollten IT-Administratoren lieber andere Methoden wählen, um die Sicherheit zu steigern. So sollten erfolglose Login-Versuche protokolliert, analysiert und an den jeweiligen Kontenbesitzer gemeldet werden. Dadurch könnten unberechtigte Login-Versuche schneller erkannt werden.

Siehe dazu auch:

 

Quelle: http://heise.de/-3176493