+49 (0) 8171/405-0 info@proSoft.de

Microsoft: Das regelmäßige Ändern von Passwörtern macht sie nicht sicherer.

14.
Mai
2019
Passwort, Sicherheit

Microsoft übernimmt neue NIST- Empfehlungen zu Passwörtern und verabschiedet sich vom 90-Tage-Änderungsrythmus

Die allermeisten Unternehmen fordern von ihren Mitarbeitern, Passwörter alle 90 oder sogar 60 Tage zu ändern. Dass das den Anwender nervt, ist klar. Jedoch zeigen aktuelle Untersuchungen auch, dass das gewünschte Ziel „mehr Sicherheit“ nicht erreicht, sondern konterkariert wird. Die Anwender erstellen vorhersagbare, somit schlechtere und unsichere Passwörter.

Zu dieser Erkenntnis kommt nun offenbar auch Microsoft und bringt damit auch in Deutschland Bewegung in das Thema.

Microsoft entfernt Kennwortablaufrichtlinien

In einer Mitteilung zu Windows 10 Version 1903 (19H1) und Windows Server 1903 hat Microsoft angekündigt, das die Kennwortablaufrichtlinien („password-expiration policies“) aus der „Security Baseline“ entfernt werden.
Die „Security Baselines“ sind konkrete Sicherheitsempfehlungen von Microsoft, in denen Administratoren der Einsatz von Gruppenrichtlinien erklärt wird, mit denen ein Unternehmensnetzwerk und das Windows-Umfeld sicherer gemacht wird. Nach alter Richtlinie wurden Nutzer aufgefordert nach einem festgesetzten Zeitraum eine Passwort-Änderung vorzunehmen. Dieser Hinweis ist nunmehr entfallen.
 

Neue NIST Empfehlungen für sichere Passwörter

Ursprung der alten Vorgehensweise ist eine Direktive des US-amerikanischen National Institute of Standards and Technology, NIST, fast schon aus der Steinzeit der IT (2003):
  • Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen).
  • Passwörter sollen alle 90 Tage gewechselt werden.

Inzwischen ist klar geworden, dass sichere Passwörter so nicht funktionieren – das NIST hat die Vorgaben ersetzt.

Gemäß dem hier verlinkten neuen Regelwerk sollen Passwörter nur noch bei einem konkreten Sicherheitsvorfall geändert werden – die Forderung, Passwörter zwingend im 90 Tagesrhythmus zu ändern, ist beim NIST entfallen und offenbar in der direkten Konsequenz nunmehr auch bei Microsoft.

Ob und wann sich die Erkenntnis auch in deutschen IT-Abteilungen durchsetzt, bleibt abzuwarten.
 

Meine Empfehlung:

  • Dem Fazit von Microsoft und NIST können wir uns nur anschließen.
  • Sollten Sie also in den nächsten Wochen mal wieder eine Aufforderung zur Passwort-Änderung erhalten, dann weisen Sie die IT-Abteilung einfach mal auf die neuen Empfehlungen hin.
  • Wenn Sie als Administrator für die Umsetzung der Sicherheitsrichtlinien zuständig sind, können Sie unter Bezugnahme auf NIST und Microssoft Ihre eigenen Richtlinien, Dienstanweisungen und Betriebsvereinbarungen mit ruhigem Gewissen anpassen. Ihre Nutzer werden es Ihnen danken!

Redakteur und Redaktionsbeauftragter für Inhalt und Konzept
(Alle Beiträge „In My Humble Opinion“)

Große #Microsoft Störung Deutsche beklagen massenhaft Ausfälle bei #Teams und #Outlook https://t.co/2tMfZbMR5m https://t.co/1776PfXt1x
Zunehmende Cyberkriminalität – Welche Gegenmaßnahmen helfen wirklich? https://t.co/kA0sIJ10PM #cyberangriff #cyberdefense #itsicherheit https://t.co/tp1RBM4pTE
Cyberkriminelle verschaffen sich Zugang zu Sky-Kundenkonten https://t.co/mPtWKobNG5 #Sky https://t.co/M1nU038UeZ
Fernwartungs-Software mit SSL & TLS für mehr Sicherheit https://t.co/TcT8IP2OVA #NetSupport
#Fernwartung https://t.co/NAj203kh9V
Dortmunder Datenpanne – Personenbezogene Daten im Lost Place #Dortmund #LostPlace https://t.co/UNuaJhaNiy https://t.co/brjrrE564g
Nach drohender #Cyberattacke reagierte die Stadt #Potsdam mit dem Abschalten der Internetverbindungen. Nach umfangreichen Sicherheits-Checks geht es nun weiter. https://t.co/skdKzbND3N https://t.co/KNa6jgL6Kp
Hacker versuchen #Ionos Passwörter zu phishen https://t.co/lqTDa8v0Hf
Handelsblatt: „Kaum zu bewältigen“: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck - https://t.co/GVPGf4jXsC
Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich | Security https://t.co/HqRLyjtDW3
@heisec: Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen https://t.co/DEy74bF6wh #InHand #InRouter
Cyber-Attacken auf kritische Lücke in Control Web Panel | Security https://t.co/XW83hKUc8F
Fahrradbauer #Prophete: Erste Details zum Cyber-Angriff | Die Insolvenz der Prophete-Gruppe wurde schlussendlich durch einen Cyber-Angriff ausgelöst. Security https://t.co/IrjyYFWjJu
So schützt die #OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ
Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt. Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. https://t.co/R9S2L77pnK https://t.co/QcqGLwTIO4
@heisec: 90 Tage Zeit: Erweiterter Support für Exchange Server 2013 endet https://t.co/M2HQl8QEV3 #Supportende #ExchangeServer2013
Kritische #Sicherheitslücke bedroht End-of-Life-Router von #Cisco | Security https://t.co/YwgztmM0QE
Jetzt aktualisieren! #Sicherheitslücke in #SugarCRM wird ausgenutzt | Security https://t.co/rQcYSVpax4
@heisec: DDoS-Angriffe: Webseiten dänischer Zentralbank und von Privatbanken lahmgelegt https://t.co/SdkzMChY8F #DDoS #DänischeBanken

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This