Oftmals schreiben die IT-Sicherheitsrichtlinien von Unternehmen den Mitarbeitern vor, regelmäßig das Passwort zu ändern. Und wie der versierte Sicherheitsexperte weiß, sollte das Passwort auch möglichst lang und komplex sein. Aber ist dies wirklich eine sinnvolle Kombination? Britische Experten haben dies untersucht.

SINNVOLLE ALTE REGEL?

Nicht nur dass Passwörter nicht nur eine bestimmte Mindestlänge und eine gewisse Komplexität haben sollen, sondern möglichst regelmäßig geändert gehören ist eine alte und im Allgemeinen als äußerst sinnvoll erachtete Regelung zur IT-Sicherheit. Die Electronics Security Group (CESG) bricht jetzt mit diesem Gebot und rät IT-Abteilungen davon ab, den Mitarbeitern die regelmäßige Änderung der Passwörter zu oktroyieren.

WHAT’S THE PROBLEM, SIR?

Die Problematik, die aus dieser Kombination von Regelungen besteht sehen die britischen Sicherheitsexperten darin, dass bei gezwungenem Wechsel mehr Mitarbeiter anfangen das neue Passwort zu notieren, oder es auch für andere Zugänge zu verwenden. Eine weitere schlechte Folgeerscheinung ist, dass das neue Passwort dann dem alten meist bis auf minimale Abweichungen gleicht. Hierin sieht die CESG größere Risiken als in einem längerfristig verwendeten guten komplexen Passwort. Auch Kosten für Support könnten so gesenkt werden, da bei erzwungenem Passwortwechsel häufiger vergessene Passwörter wieder zurückgesetzt werden müssen.

AN ANDEREN SCHRAUBEN DREHEN

Die CESG schlägt stattdessen wirksamere Methoden zur Verbesserung der IT-Sicherheit vor. So sei ein Tool zur Überwachung erfolgter Login-Versuche wesentlich sinnvoller. Hier könne man als Nutzer sehen ob man selber dafür verantwortlich war, oder ob ein Angreifer von außen versucht Zugriff zu erlangen. So kann der Nutzer selber Angriffe auf seinen Account bei der IT-Abteilung melden.