Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern. In seinem Handbuch zum IT-Grundschutz strich die Behörde eine entsprechende Textpassage. Im Kapital zur Regelung des Passwortgebrauchs rät das BSI nur noch für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern.

Experten sind bereits seit vielen Jahren der Ansicht, dass regelmäßige Passwortwechsel eher schaden als nützen. "Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen", schreibt etwa das Fachportal Heise Security. Das regelmäßige Ändern führe eher dazu, dass schwache Passwörter benutzt würden und Nutzerinnen und Nutzer ein bestimmtes Schema anwendeten.

Sicherheitsexperte Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwortsicherheit forscht, begrüßte den Kurswechsel des BSI. "Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat", sagte er. 

Der Informatiker Maximilian Golla vom Max-Planck-Institut für Cybersicherheit bezeichnete die Änderungen des BSI als "ungefähr das Größte, was in der deutschen Passwortsicherheit in den letzten Jahren passiert ist". "Künftig werden viele Menschen in Büros nicht mehr mit dieser Regel gequält", sagte er der Süddeutschen Zeitung.

Das BSI empfiehlt Nutzerinnen und Nutzern grundsätzlich mindestens acht Zeichen für ein Passwort. Es gilt aber, je länger es ist, desto besser. Auf keinen Fall sollten Nutzer bei mehreren Diensten das gleiche Passwort verwenden. Wer sich mehrere komplizierte und einzigartige Passwörter weder merken kann noch möchte, sollte zudem einen Passwortmanager nutzen.