Der „Beirat Digitaler Verbraucherschutz“ beim BSI besteht aus Sicherheitsforschern, Verbraucherschützern, Vertretern von Denkfabriken, Branchenverbänden und zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club. Er unterstützt das BSI in beratender Funktion und hat z. B. in Bezug auf die Thematik der Sicherheit von Passwörtern Handlungsempfehlungen herausgegeben. Die Arbeitsergebnisse des Beirats lassen sich folgendermaßen zusammenfassen:
1. Kritisch gesehen werden
– zu einfache Passwörter (idR auch kurz)
– zu komplexe selbst ausgedachte Passwörter (Merkfähigkeit problematisch)
– Zwang zu regelmäßiger Änderung von Passwörtern (leicht zu erratende Iterationen)
– Voreingestellte Standardpasswörter durch Gerätehersteller (Angriffsrisiko beim Verbraucher)
2. Empfehlungen:
– Zwei-Faktor-Authentisierung (über E-Mail, SMS oder Apps wie z.B. Google Authenticator)
– Realitäten anerkennen (Aufmerksamkeits- und Zeitknappheit von Verbrauchern)
– Organisatorische Maßnahmen (Begrenzung der maximalen Sitzungsdauer, Verbot paralleler Sitzungen)
– Analoges Aufschreiben nicht per se verurteilen (vielmehr Hinweise für Verbraucher zur sicheren Aufbewahrung)
– Passwort-Manager (Schutzmöglichkeit bei Phishing-Angriffen)
Wörtlich heißt es:
1) Das „erste Gebot“ für Passwortsicherheit sollte die Einzigartigkeit von Passwörtern sein, d.h. diese nur für ein Konto zu verwenden.
2) Überkomplexe Passwörter und beständige Passwort-Erneuerung sind wenig zielführend.
3) Es ist besser, längere Passwörter oder Passwörter bestehend aus mehreren Worten zu verwenden, die dafür weniger komplex und besser merkbar sind.
4) Dienste sollten sofern verfügbar über eine zusätzliche 2-Faktor Authentisierung abgesichert werden.
Links:
https://www.heise.de/news/BSI-Beirat-warnt-vor-ueberkomplexen-Passwoertern-und-staendiger-Erneuerung-7221073.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/digitaler_Verbraucherschutz/Beirat_DVS/Handlungsempfehlung_Sicherheit_Passwoerter.pdf?__blob=publicationFile&v=4
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html