Gegenwärtig fordert das d.vinci-System die Benutzer alle 90 Tage dazu auf, ein neues Passwort zu wählen. d.vinci folgt damit den Sicherheitsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Das BSI hat die Empfehlung zum Passwortwechselzwang im Februar 2020 entfernt (aus dem Grundschutz-Kompendium für Informationssicherheit, Abschnitt ORP.4). Das BSI folgt damit anderen Ländern wie den USA, deren zuständige Behörde NIST schon 2017 ihre Vorgaben geändert hat.

Eure Benutzer werden dann nicht mehr in festen Zeitabständen zum Ändern ihres Passworts aufgerufen. Bei Benutzern, die sich per Single Sign-on im System anmelden, können andere Regeln gelten, u. a. besteht dann möglicherweise auch kein Wechselzwang.

Hintergrund dieser Änderung ist die Erkenntnis von Sicherheitsbehörden, dass das regelmäßige Ändern von Passwörtern potentiell mehr Schaden als Nutzen verursacht. Nutzer neigen dazu, das alte Passwort durch ein leicht abgeändertes zu ersetzen, oder sie wählen Passwörter, die besser zu merken sind und damit auch einfacher zu knacken. Auch nimmt die Tendenz zu, Passwörter aufzuschreiben. Ein dauerhaftes aber dafür nach erprobten Sicherheitsrichtlinien erstelltes Passwort bietet mehr Schutz, als ein häufiger Wechsel zwischen schwachen Passwörtern.
Der Empfehlung des BSI nach sollte ein starkes Passwort nur dann geändert werden, wenn das Passwort verdachtshalber in die Hände Dritter gelangt sein könnte.