Microsoft streicht die Verfallsdaten für Passwörter in Windows 10 und Windows Server

Microsoft hat die Sicherheitsrichtlinien für Windows 10 und Windows Server aktualisiert. Neben kleineren Anpassungen, welche unter anderem Spracheingaben betreffen, ist vor allem eine Veränderung zu nennen: So streicht das Unternehmen aus Redmond die Verfallsdaten für Passwörter.

Wer Interesse hat, kann die gesamten Änderungen mit allen Einzelheiten auch hier bei Microsoft in englischer Sprache nachlesen. Kern der aktualisierten Richtlinien ist z. B., dass sich nun in den Einstellungen für Apps regeln lässt, dass Anwender etwa nicht per Spracheingaben mit Programmen interagieren können, wenn das System gesperrt ist. Auch andere, kleinere Sicherheitsanpassungen hat Microsoft vorgenommen. Beispielsweise bastelte man an den BitLocker-Verschlüsselungseinstellungen.

Die größte Veränderung ist aber eben besagtes Streichen der Passwort-Verfallsdaten. Dabei räumt Microsoft ein, dass Passwörter generell ein problematisches Thema seien, wenn es um Sicherheit gehe. Zu oft wählten Nutzer leicht erkennbare Passwörter aus, die sich leicht knacken ließen. Sollen Anwender sichere Passwörter generieren, schreiben sie sich oft auf, weil sie jene sonst vergessen. Das ist dann ein neues Sicherheitsrisiko. Da kennt wohl jeder das Klischee: „Mitarbeiter erstellt sich ein sicheres Passwort. Dann klebt er einen Zettel, auf dem er es notiert hat, an den Monitor.“

Laut Microsoft bringe es aus ähnlichen Gründen keinen Gewinn an Sicherheit, wenn man die Anwender zwinge ihr Passwort regelmäßig zu ändern. Letzen Endes würden sie meistens nur das bestehende Passwort leicht anpassen. Übertrieben gesagt: Aus „12345“ wird dann eben „23456“. Auch erhöhe sich bei regelmäßigen Passwortänderungen die Wahrscheinlichkeit, dass die Nutzer das Passwort vergessen, was Mehrarbeit für die IT-Abteilungen bedeute und die Sicherheit auch nicht verbessere.

Am Ende kommt Microsoft zu dem Ergebnis, dass es bessere Wege gebe die Sicherheit zu erhöhen, als regelmäßige Passwortänderungen vorzugeben. Zwei-Faktor-Authentifizierung oder eine Sperrliste mit einfach zu knackenden Passwörtern seien etwa deutlich effizientere Maßnahmen. Während Microsoft nun die Verfallsdaten als Basis-Richtlinie entfernt, belässt man es aber bei der Voraussetzung von bestimmten Minimallängen und einer gewissen Komplexität.

Werde aber ein Passwort gestohlen, bringe es laut Microsoft auch wieder nichts, wenn besagtes Passwort in regelmäßigen Abständen geändert werde – dann sollte man lieber sofort reagieren. Werde das Passwort aber nicht entwendet, seien Änderungen per se erst einmal unnötig. Dabei ist zu bedenken, dass sich all diese Aussagen natürlich auf Organisationen und Microsofts Vorschläge für Sicherheit beziehen. Unternehmen können derlei Vorgaben natürlich dennoch weiter anwenden, wenn sie es trotzdem für sinnvoll erachten.

Mal abgesehen davon, dass sich Microsofts Vorschläge an Firmen richten: Wie handhabt ihr das denn mit Passwörtern? Nutzt ihr dafür Manager wie 1Password? Ändert ihr eure Passwörter regelmäßig?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten ein.

15 Kommentare

  1. Das ist sicher der Erkenntnisgewinn aus mehreren Studien zu dem Thema, die besagen, dass ein regelmäßiger Passwortwechsel keinen Sicherheitsgewinn bringt. Gut so.

    https://www.faz.net/aktuell/technik-motor/digital/warum-haeufige-passwortwechsel-gefaehrlich-sind-15744738.html

    • Blacky Forest says:

      Das ist aber auch nur die halbe Wahrheit. Besser man wechselt das Passwort mal und die ganzen geleakten Passwörter sind nicht mehr gültig. Zweifaktorauthetifizierung ist gut und schön, aber ständig ein weiteres Device IMMER griffbereit halten?!

      • Hab mich mal mit nem Pentester unterhalten. Die meisten erfolgreichen Angriffe auf Zugangsdaten kommen von außerhalb des Unternehmens und finden sowieso über (gezieltes) Social Engineering statt. Da ist letztlich eh egal, welche Sicherheitsmaßnahmen man ergreift, wenn sich der Angestellte von dem Anrufer/Angreifer breit quatschen lässt und irgendwelche Zugangsdaten raus gibt.
        Der auch hat erzählt, man würde gar nicht glauben, wie oft man mit einem Anruf über die Zentrale in irgend eine Abteilung durchgestellt, sich als (neuer) Kollege ausgeben kann. Notfalls auch von extern, wenn die Firma Außendienstmitarbeiter hat oder man sich als IT’ler im Home Office ausgibt. Da ist die Recherche davor wesentlich essentieller, als technische Angriffe (die natürlich auch eingesetzt werden).

      • Na sollte doch jetzt kein so großes Problem sein, halt eben noch nen Hardware-Key als zweiten Faktor zu haben. Bei mir in der Firma kommt man ohne Chip eh nicht in die Abteilungen, hat ihn also auch immer dabei.

      • Unnötig dank OTP

      • Vor allem muss das zweite Device dann auch funktionieren. USB-Sticks gehen gerne mal kaputt, vor dem Terminal im Keller ist gerade kein Handyempfang…..

  2. Wolfgang D. says:

    „Streichen der Passwort-Verfallsdaten“
    Das merken die erst jetzt, nach all den Jahren? Wo man nicht mal „Expertenstudien“ braucht, um den Unsinn dieser Methode mit den Verfallsdaten zu kapieren. Zum Glück haben etliche Unternehmen schon früher stillschweigend sowas abgeschaltet.

    Jetzt wo Microsoft seine Authenticator Dienste zur Sicherung verkaufen will, fällt denen das auch ein. Super!

  3. Client versteh ich. Aber auch Server? Von den Admins sollte man ein gewisses Verständnis und professionellen Umgang mit dem Thema erwarten können, meine ich. Aber gut. Bitte. Ich bin kein Admin.

    Zur Frage am Ende: Ich nutze einen Passwortmanager.

  4. Verwende einen Passwort-Manager mit entsprechend langen und durchweg kryptischen Passwörtern (das übliche, Groß/Kleinschreibung, Zahlen, Sonderzeichen). Überall wo es geht und sinnvoll ist (Google-Account, FB, Amazon, Paypal, usw.) ist zudem 2-Faktor-Authentifizierung aktiv. Der Passwortmanager gleich zudem die Passwörter mit entsprechenden Datenbanken ab, ob der jeweilige Anbieter ggf. gehackt wurde („have i been pwned“). Bis dato scheine ich damit gut zu fahren und ist auch nur bei der Ersteinrichtung wirklich Aufwand.

  5. Erzwungene Passwort Wechsel sind mit das dümmste was man machen kann. Das hat nämlich ausschließlich zur Folge, dass die Leute sich ihre Passwörter irgendwann nicht mehr merken können und dann entweder absolut primitive Passwörter verwenden, oder (das ist die Regel) diese am Monitor oder im besten Fall unter der Tastatur aufschreiben…

  6. Microsoft berücksichtigt damit schlicht die Passwort-Empfehlung der NIST.

    https://pages.nist.gov/800-63-3/sp800-63b.html
    https://www.heise.de/select/ct/2018/7/1522456511555222

  7. Nachdem schon der eine oder andere Landesbeauftragte für Datenschutz den ständigen Wechselzwang diverser Richtlinien kritisiert hat ist das ein wichtiger Schritt für die Unternehmen.
    Aber solange das BSI noch immer an diesen veralteten Regeln festhält (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html ) wirds auch von den einzelnen Ländern nix Gegenteiliges geben. Und erst recht nicht von den Berufsverbänden.

    Somit bleibts für die nächste Zeit beim idiotischen Wechselspiel. Zumindest für den Login. Token wären zwar auch schön, aber da müssen die User eben mitspielen wollen.
    Alles andere arbeitet dann Acebit ab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.