• mhg protectit

Passwortwechsel-Zwang revidiert


Viele Mitarbeiter können sicher bestätigen: Der vorgegebene Zwang zum Wechseln von Passwörtern kann zu Aufschrieben am Bildschirm oder unter der Tastatur führen. Nur leider stehen auf diesen Zetteln dann die Passwörter und dies macht die internen IT-Systeme unsicher.

Wenn das Unternehmen vorgibt, dass alle 90 Tage die Passwörter (ggf. nicht nur eines) gewechselt werden muss und diese dann aber auch noch komplex sein sollen, dann führt das ohne Passwort-Manager-Lösungen gerne dazu, dass solche Notizzettel entstehen. Seit einer der ersten Befürworter dieser Passwortwechsel-Zwänge dies öffentlich bereute und als Fehler einräumte, ist Bewegung in die Sache gekommen. Denn mittlerweile rät z.B. auch die britische Communications Electronics Security Group (CESG) von Passwortwechseln ab. in Deutschland folgte dann als erstes der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) mit seinen neuen Hinweisen zum Umgang mit Passwörtern:

2) Keine regelmäßige Änderung erzwingen Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt. Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.

Auch die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, hat sich zu dem Thema geäußert. Genau genommen gibt es jetzt dieses Dokument, dass „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der DSK erstellt hat.

2.2 Passwortwechsel nur in Sonderfällen erzwingen Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.

Gerne stehe ich Ihnen bei Fragen zur Verfügung.

Quelle: Link

Kontakt

mhg protectit - Michael Haug

Heerweg 19

72116 Mössingen

BvD_Logo_Mitglieder.png
1532622225.png
Button-Unternehmen-DE-neg-e1543407034483

Tel.:  07473 / 24 0 94 – 0                                

​info@mhg-protectit.de

  • Grey Facebook Icon
  • Graues Xing
  • Grau LinkedIn Icon

© 2020 by mhg protectit