Fragen? Antworten! Siehe auch: Alternativlos
Zurückgegangen ist das auf NIST, die US-amerikanische IT-Sicherheitsbehörde. Die haben natürlich die Empfehlung zurückgezogen, als die Fakten auf dem Tisch lagen. Aber wenn so ein Scheiß einmal in alle möglichen Prozesse reingewandert ist, kriegst du das auch nicht mehr weg.
Daher hat das NIST jetzt die Brechstange rausgeholt und periodische Passwortrotation zu einem SHALL NOT gemacht (3.1.1.2 Punkt 6).
Mit anderen Worten: Das ist jetzt ein gültiges Security Finding in Audits. Das zu tun, was das NIST vor ein paar Jahren vorgeschrieben hat.
Ist auf der einen Seite witzig, aber ich finde das auch einen Hoffnungsschimmer. Nicht viele Menschen oder gar Organisationen sind in der Lage, Fehler nicht nur anzuerkennen, sondern Konsequenzen daraus zu ziehen. Schon gar nicht, wenn die Konsequenzen vielleicht peinlich sind.
In diesem Sinne: Gute Arbeit, NIST!
Oh und wenn ihr in einem Laden arbeitet, der Passwörter rotiert, dann holt euch mal gleich die Bug Bounty ab und meldet das als Sicherheitslücke.
Update: Ein Leser merkt an, dass das BSI das auch schon als Sicherheitslücke klassifiziert (unter ORP.4.A23).
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern.
Update: Ein Kollege hat das mal recherchiert und sagt, das geht nicht auf NIST sondern die Rainbow Books vom Pentagon zurück.
Update: Ein anderer Kollege meint gerade, dass das schon länger beim NIST so steht, mindestens seit April. Wenn das so ist, hab ich da von nichts mitgekriegt und freu mich dann halt jetzt mit Verspätung :-)