Wird der ständige Wechsel von Passwörtern hinfällig?

Wenn es nach den neuen Sicherheitsempfehlungen von Microsoft geht, sollte zukünftig darauf verzichtet werden, Kennwörter mit einem Verfallsdatum zu versehen und ständig zu erneuern. Für den Softwarekonzern sind Verfallsrichtlinien für Kennwörter eine unzeitgemäße Maßnahme mit sehr geringem Wert. Und aus diesem Grund wird in der Basissicherheitsrichtlinie (Security Configuration Baseline) für die neue Version 1903 von Windows 10 diese Einstellung gestrichen. Stattdessen müssen Organisationen in der Basissicherheitsrichtlinie eigene Fristen selbst definieren.

Für Microsoft bietet der periodische Austausch von Kennwörtern nur einen geringen Schutz gegen den Diebstahl eines gültigen Kennwortes. Die Anwender sind mit diesem häufigen Passwortwechsel oft überfordert. Entweder sie wählen leicht zu erratende Kennwörter oder neigen dazu diese mit einfachen, vorhersehbaren Änderungen abzuändern.

Richtig neu ist diese Ankündigung aber nicht. Schon vor zwei Jahren hat das US National Institute of Standards and Technology (NIST) eine Empfehlung veröffentlicht, die sich nicht nur für den Verzicht von Verfallsrichtlinien ausspricht, sondern auch den Nutzen von Komplexität bei Kennwörtern in Frage stellt. Unternehmen sollten stattdessen die Anwenderkennwörter mit bekannten oder häufig benutzten Kennwörtern vergleichen und ggfs. gegen Verwendung sperren, sowie auf die mehrstufige Authentifizierung zurückgreifen.

Der Softwarekonzern kann diese Alternativen nur ausdrücklich empfehlen und bietet mit Office 365 MFA, Azure MFA oder Azure Passwort Protection eigene moderne Authentifizierungsmethoden und Praktiken. Microsoft möchte diese empfohlenen Alternativen gar nicht zum Bestandteil seiner Basissicherheitsrichtlinien machen; zumal sie nicht mit Gruppenrichtlinien umzusetzen wären.

Die Basissicherheitsrichtlinien sind Best-Practice-Empfehlungen von Microsoft zur Absicherung der Windows Betriebssysteme und bestehen in der Regel aus einer Kombination von Gruppenrichtlinien, Skripten und Berichten und werden kostenlos zum Download zur Verfügung gestellt. Aktuell hat der Softwarekonzern einen ersten Entwurf der Basissicherheitsrichtlinie für Windows 10 19H1 und Server 2019 veröffentlicht.

Quellen: Microsoft Security Guidance blog, ZDNet