Nicht nur die Datenschutzbehörden auch das BSI kehrt endlich vom Passwortwechsel-Zwang ab
Wer kennt sie nicht, diese lästige Aufforderung des Systemadministrators zu einem erzwungenem Passwortwechsel nach Ablauf eines fixen, zeitlichen – meist recht kurzen – Intervalls. Wenn uns das Unternehmen vorgibt, dass wir z.B. alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln müssen und diese dann aber auch noch eine gewisse Komplexität aufweisen sollen, dann führt dies, aufgrund der üblicherweise getroffenen Einstellungen hinsichtlich des Passwortalters und der Passworthistorie, nicht selten zu einer gut kultivierten und unternehmensweit verbreiteten „gelben Zettelwirtschaft mit Passwortinformationen“ und somit - aufgrund der damit verbundenen Risiken - im Ergebnis zu weniger Datenschutz und weniger Informationssicherheit. Nachdem verschiedene Datenschutzbehörden der Länder und auch die Datenschutzkommission dies erkannt und bereits mehrfach vorgelegt haben, zieht nun endlich auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach und ändert endlich die Vorgaben für einen Passwortwechsel-Zwang.