Schlagwort: Passwortsicherheit

BSI empfiehlt nicht mehr den regelmäßigen Wechsel von Passwörtern

5. Februar 2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von seiner bisherigen Empfehlung abgerückt, wonach Passwörter in regelmäßigen Abständen gewechselt werden sollten. Eine entsprechende Empfehlung fehlt in dem IT-Grundschutz-Kompendium Edition 2020 des BSI.

Mit dem IT-Grundschutz-Kompendium veröffentlicht das BSI im Februar jeden Jahres seine wesentlichen Empfehlungen zum IT-Grundschutz. Der IT-Grundschutz soll Unternehmen eine Empfehlung zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen in der Informationstechnik an die Hand geben. Bisher empfahl das BSI stets, in der Informationstechnik genutzte Passwörter in regelmäßigen Abständen zu ändern. Nur auf diese Weise sei die Entschlüsselung von Passwörtern zu verhindern und somit ein hinreichender Schutz der Systeme gewährleistet.

Von dieser Empfehlung ist das BSI nun abgerückt. Der Wechsel eines Passworts sei nur dann zwingend erforderlich, “wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht” (IT-Grundschutz-Kompendium: ORP.4.A8 Regelung des Passwortgebrauchs). Die weiteren Vorgaben beschränken sich darauf, dass eine Mehrfachverwendung von Passwörtern zu unterbleiben hat, genutzte Passwörter geheimzuhalten (insbesondere ist eine schriftliche Fixierung nur für Notfälle erlaubt und dann eine sichere Aufbewahrung erforderlich) und nur hinreichend sichere, ausschließlich dem Nutzer bekannte Passwörter zu nutzen sind.

Unternehmensinterne Regelungen zum IT-Grundschutz können nun in Zukunft auch dann entsprechend dieser Maßgaben angepasst werden, wenn sie nach den Bestimmungen des BSI zertifiziert werden sollen. Aber auch ohne ein solches Zertifizierungsvorhaben empfiehlt sich die Änderung entsprechender Regelungen und die Sensibilisierung der Beschäftigten: Datenschützer weisen seit Jahren darauf hin, dass das regelmäßige Auswechseln von Passwörtern mehr Risiken als Nutzen birgt.

Instagram gesteht Datenpanne ein

19. November 2018

Bei der Abfrage der bei Instagram gespeicherten Daten haben Nutzer auch ihr Passwort unverschlüsselt sehen können.

Im Zuge der DSGVO-Umsetzung hat Instagram die „Download your data“-Option eingeführt. So konnten Nutzer eine Übersicht der über sie bei Instagram gespeicherten Daten bekommen. Bei der Abfrage war allerdings auch das Passwort ausgeschrieben in der URL im Browser sichtbar. Dies bedeutet, dass die Passwörter unverschlüsselt auf dem Server gespeichert waren, was die Sicherheitsstandards von Instagram in Frage stellt.

Nach dem Instagram das Problem aufgefallen ist wurde es direkt behoben. Nach eigenen Angaben seien nur wenige Nutzer betroffen. Die Betroffenen wurden informiert und gebeten ihre Passwörter zu ändern.

Ungeklärt bleibt, wie lange dieses „Datenleck“ bereits bestand und warum nur einige Nutzer betroffen sein sollten und nicht alle.

Nutzerkonten von Lufthansa-Kunden gehackt

19. November 2015

Wie eine Sprecherin der Lufthansa der gegenüber heise.de mitteilte, haben in den vergangenen Tagen Unbekannte versucht auf Nutzerkonten von Lufthansa-Kunden zuzugreifen. Die Log-in-Daten der Kunden haben die Täter vermutlich bei einer fremden Stelle auf bislang noch ungeklärte Weise erlangt. Aus der Datenbank der Lufthansa sollen die Log-in-Daten nach eigenen Angaben jedenfalls nicht entwendet worden sein. Teilweise sind die Täter erfolgreich gewesen und konnten zu Lasten der Kunden Prämien einlösen. Obwohl Lufthansa bereits Gegenmaßnahmen zur Sicherung der Kundendaten getroffen hat, wird den Kunden empfohlen, ihre Passwörter für ihre Nutzerkonten zu erneuern.