Microsoft streicht die Verfallsdaten für Passwörter in Windows 10 und Windows Server
von André Westphal | 15 Kommentare
Microsoft hat die Sicherheitsrichtlinien für Windows 10 und Windows Server aktualisiert. Neben kleineren Anpassungen, welche unter anderem Spracheingaben betreffen, ist vor allem eine Veränderung zu nennen: So streicht das Unternehmen aus Redmond die Verfallsdaten für Passwörter.
Wer Interesse hat, kann die gesamten Änderungen mit allen Einzelheiten auch hier bei Microsoft in englischer Sprache nachlesen. Kern der aktualisierten Richtlinien ist z. B., dass sich nun in den Einstellungen für Apps regeln lässt, dass Anwender etwa nicht per Spracheingaben mit Programmen interagieren können, wenn das System gesperrt ist. Auch andere, kleinere Sicherheitsanpassungen hat Microsoft vorgenommen. Beispielsweise bastelte man an den BitLocker-Verschlüsselungseinstellungen.
Die größte Veränderung ist aber eben besagtes Streichen der Passwort-Verfallsdaten. Dabei räumt Microsoft ein, dass Passwörter generell ein problematisches Thema seien, wenn es um Sicherheit gehe. Zu oft wählten Nutzer leicht erkennbare Passwörter aus, die sich leicht knacken ließen. Sollen Anwender sichere Passwörter generieren, schreiben sie sich oft auf, weil sie jene sonst vergessen. Das ist dann ein neues Sicherheitsrisiko. Da kennt wohl jeder das Klischee: „Mitarbeiter erstellt sich ein sicheres Passwort. Dann klebt er einen Zettel, auf dem er es notiert hat, an den Monitor.“
Laut Microsoft bringe es aus ähnlichen Gründen keinen Gewinn an Sicherheit, wenn man die Anwender zwinge ihr Passwort regelmäßig zu ändern. Letzen Endes würden sie meistens nur das bestehende Passwort leicht anpassen. Übertrieben gesagt: Aus „12345“ wird dann eben „23456“. Auch erhöhe sich bei regelmäßigen Passwortänderungen die Wahrscheinlichkeit, dass die Nutzer das Passwort vergessen, was Mehrarbeit für die IT-Abteilungen bedeute und die Sicherheit auch nicht verbessere.
Am Ende kommt Microsoft zu dem Ergebnis, dass es bessere Wege gebe die Sicherheit zu erhöhen, als regelmäßige Passwortänderungen vorzugeben. Zwei-Faktor-Authentifizierung oder eine Sperrliste mit einfach zu knackenden Passwörtern seien etwa deutlich effizientere Maßnahmen. Während Microsoft nun die Verfallsdaten als Basis-Richtlinie entfernt, belässt man es aber bei der Voraussetzung von bestimmten Minimallängen und einer gewissen Komplexität.
Werde aber ein Passwort gestohlen, bringe es laut Microsoft auch wieder nichts, wenn besagtes Passwort in regelmäßigen Abständen geändert werde – dann sollte man lieber sofort reagieren. Werde das Passwort aber nicht entwendet, seien Änderungen per se erst einmal unnötig. Dabei ist zu bedenken, dass sich all diese Aussagen natürlich auf Organisationen und Microsofts Vorschläge für Sicherheit beziehen. Unternehmen können derlei Vorgaben natürlich dennoch weiter anwenden, wenn sie es trotzdem für sinnvoll erachten.
Mal abgesehen davon, dass sich Microsofts Vorschläge an Firmen richten: Wie handhabt ihr das denn mit Passwörtern? Nutzt ihr dafür Manager wie 1Password? Ändert ihr eure Passwörter regelmäßig?
Wird geladen ...
Das ist sicher der Erkenntnisgewinn aus mehreren Studien zu dem Thema, die besagen, dass ein regelmäßiger Passwortwechsel keinen Sicherheitsgewinn bringt. Gut so.
https://www.faz.net/aktuell/technik-motor/digital/warum-haeufige-passwortwechsel-gefaehrlich-sind-15744738.html
Das ist aber auch nur die halbe Wahrheit. Besser man wechselt das Passwort mal und die ganzen geleakten Passwörter sind nicht mehr gültig. Zweifaktorauthetifizierung ist gut und schön, aber ständig ein weiteres Device IMMER griffbereit halten?!
Hab mich mal mit nem Pentester unterhalten. Die meisten erfolgreichen Angriffe auf Zugangsdaten kommen von außerhalb des Unternehmens und finden sowieso über (gezieltes) Social Engineering statt. Da ist letztlich eh egal, welche Sicherheitsmaßnahmen man ergreift, wenn sich der Angestellte von dem Anrufer/Angreifer breit quatschen lässt und irgendwelche Zugangsdaten raus gibt.
Der auch hat erzählt, man würde gar nicht glauben, wie oft man mit einem Anruf über die Zentrale in irgend eine Abteilung durchgestellt, sich als (neuer) Kollege ausgeben kann. Notfalls auch von extern, wenn die Firma Außendienstmitarbeiter hat oder man sich als IT’ler im Home Office ausgibt. Da ist die Recherche davor wesentlich essentieller, als technische Angriffe (die natürlich auch eingesetzt werden).
Na sollte doch jetzt kein so großes Problem sein, halt eben noch nen Hardware-Key als zweiten Faktor zu haben. Bei mir in der Firma kommt man ohne Chip eh nicht in die Abteilungen, hat ihn also auch immer dabei.
Unnötig dank OTP
Vor allem muss das zweite Device dann auch funktionieren. USB-Sticks gehen gerne mal kaputt, vor dem Terminal im Keller ist gerade kein Handyempfang…..
„Streichen der Passwort-Verfallsdaten“
Das merken die erst jetzt, nach all den Jahren? Wo man nicht mal „Expertenstudien“ braucht, um den Unsinn dieser Methode mit den Verfallsdaten zu kapieren. Zum Glück haben etliche Unternehmen schon früher stillschweigend sowas abgeschaltet.
Jetzt wo Microsoft seine Authenticator Dienste zur Sicherung verkaufen will, fällt denen das auch ein. Super!
Client versteh ich. Aber auch Server? Von den Admins sollte man ein gewisses Verständnis und professionellen Umgang mit dem Thema erwarten können, meine ich. Aber gut. Bitte. Ich bin kein Admin.
Zur Frage am Ende: Ich nutze einen Passwortmanager.
Verwende einen Passwort-Manager mit entsprechend langen und durchweg kryptischen Passwörtern (das übliche, Groß/Kleinschreibung, Zahlen, Sonderzeichen). Überall wo es geht und sinnvoll ist (Google-Account, FB, Amazon, Paypal, usw.) ist zudem 2-Faktor-Authentifizierung aktiv. Der Passwortmanager gleich zudem die Passwörter mit entsprechenden Datenbanken ab, ob der jeweilige Anbieter ggf. gehackt wurde („have i been pwned“). Bis dato scheine ich damit gut zu fahren und ist auch nur bei der Ersteinrichtung wirklich Aufwand.
Erzwungene Passwort Wechsel sind mit das dümmste was man machen kann. Das hat nämlich ausschließlich zur Folge, dass die Leute sich ihre Passwörter irgendwann nicht mehr merken können und dann entweder absolut primitive Passwörter verwenden, oder (das ist die Regel) diese am Monitor oder im besten Fall unter der Tastatur aufschreiben…
Ausschließlich? Gewagte These. 😉
OK, mit dem ausschließlich habe ich mich wirklich etwas weit aus dem Fenster gelehnt :). Aber es kommt nach meiner Erfahrung häufig vor.
Passwörter gehören nicht an den Monitor oder unter die Tastatur, sondern unter das Mousepad!
Microsoft berücksichtigt damit schlicht die Passwort-Empfehlung der NIST.
https://pages.nist.gov/800-63-3/sp800-63b.html
https://www.heise.de/select/ct/2018/7/1522456511555222
Nachdem schon der eine oder andere Landesbeauftragte für Datenschutz den ständigen Wechselzwang diverser Richtlinien kritisiert hat ist das ein wichtiger Schritt für die Unternehmen.
Aber solange das BSI noch immer an diesen veralteten Regeln festhält (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html ) wirds auch von den einzelnen Ländern nix Gegenteiliges geben. Und erst recht nicht von den Berufsverbänden.
Somit bleibts für die nächste Zeit beim idiotischen Wechselspiel. Zumindest für den Login. Token wären zwar auch schön, aber da müssen die User eben mitspielen wollen.
Alles andere arbeitet dann Acebit ab.