+49 (0) 8171/405-0 info@proSoft.de

Microsoft: Das regelmäßige Ändern von Passwörtern macht sie nicht sicherer.

14.
Mai
2019
Passwort, Sicherheit

Microsoft übernimmt neue NIST- Empfehlungen zu Passwörtern und verabschiedet sich vom 90-Tage-Änderungsrythmus

Die allermeisten Unternehmen fordern von ihren Mitarbeitern, Passwörter alle 90 oder sogar 60 Tage zu ändern. Dass das den Anwender nervt, ist klar. Jedoch zeigen aktuelle Untersuchungen auch, dass das gewünschte Ziel „mehr Sicherheit“ nicht erreicht, sondern konterkariert wird. Die Anwender erstellen vorhersagbare, somit schlechtere und unsichere Passwörter.

Zu dieser Erkenntnis kommt nun offenbar auch Microsoft und bringt damit auch in Deutschland Bewegung in das Thema.

Microsoft entfernt Kennwortablaufrichtlinien

In einer Mitteilung zu Windows 10 Version 1903 (19H1) und Windows Server 1903 hat Microsoft angekündigt, das die Kennwortablaufrichtlinien („password-expiration policies“) aus der „Security Baseline“ entfernt werden.
Die „Security Baselines“ sind konkrete Sicherheitsempfehlungen von Microsoft, in denen Administratoren der Einsatz von Gruppenrichtlinien erklärt wird, mit denen ein Unternehmensnetzwerk und das Windows-Umfeld sicherer gemacht wird. Nach alter Richtlinie wurden Nutzer aufgefordert nach einem festgesetzten Zeitraum eine Passwort-Änderung vorzunehmen. Dieser Hinweis ist nunmehr entfallen.
 

Neue NIST Empfehlungen für sichere Passwörter

Ursprung der alten Vorgehensweise ist eine Direktive des US-amerikanischen National Institute of Standards and Technology, NIST, fast schon aus der Steinzeit der IT (2003):
  • Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen).
  • Passwörter sollen alle 90 Tage gewechselt werden.

Inzwischen ist klar geworden, dass sichere Passwörter so nicht funktionieren – das NIST hat die Vorgaben ersetzt.

Gemäß dem hier verlinkten neuen Regelwerk sollen Passwörter nur noch bei einem konkreten Sicherheitsvorfall geändert werden – die Forderung, Passwörter zwingend im 90 Tagesrhythmus zu ändern, ist beim NIST entfallen und offenbar in der direkten Konsequenz nunmehr auch bei Microsoft.

Ob und wann sich die Erkenntnis auch in deutschen IT-Abteilungen durchsetzt, bleibt abzuwarten.
 

Meine Empfehlung:

  • Dem Fazit von Microsoft und NIST können wir uns nur anschließen.
  • Sollten Sie also in den nächsten Wochen mal wieder eine Aufforderung zur Passwort-Änderung erhalten, dann weisen Sie die IT-Abteilung einfach mal auf die neuen Empfehlungen hin.
  • Wenn Sie als Administrator für die Umsetzung der Sicherheitsrichtlinien zuständig sind, können Sie unter Bezugnahme auf NIST und Microssoft Ihre eigenen Richtlinien, Dienstanweisungen und Betriebsvereinbarungen mit ruhigem Gewissen anpassen. Ihre Nutzer werden es Ihnen danken!

Redakteur und Redaktionsbeauftragter für Inhalt und Konzept
(Alle Beiträge „In My Humble Opinion“)

Pressemeldung über neue Funktionen in der PC-Fernwartung NetSupport Manager v14 https://t.co/lsqA3Wxyqh #NetSupport https://t.co/fMccbhQWAr
Exchange-Server Zero-Day: Bisheriger Workaround unzureichend | Security https://t.co/60oqR0imqh
Katholische DSK lässt Einwilligung in schlechtere ToMs zu #§91 https://t.co/RJuPY0KsYM https://t.co/kJ0DlWDY8Y
Steganografie - immer noch zu wenig bekannt
Aktuelles Beispiel: Backdoor in Windows-Logo für Angriff auf Regierungen versteckt
https://t.co/rZbmAGjBMx #windows #logo #steganografie #backdoor https://t.co/mFXDPSkmUD
Datenverschlüsselung durch eingeschleuste Software
#Hackerangriff auf katholischen Sozialdienstleister #SKM
https://t.co/PoLU0jr6cp https://t.co/Xv8f1qjSm3
Report: 3,5 % der Ransomware-Schwachstellen werden nicht erkannt https://t.co/rNy1olSHsi https://t.co/nw5AFKQ7wD
#ransomware Nach Verschlüsseln kommt jetzt Kopieren & Zerstören. Verschlüsseln ist aufwendig und fehleranfällig https://t.co/zR40zqRC28 https://t.co/pzvTpAbNRa
@heisec: Malware: Infektion durch Mausbewegung in Powerpoint https://t.co/r5aVTZnntp #FancyBear #PowerpointMalware
@heisec: Webbrowser Chrome 106: Neue Funktionen und 20 abgedichtete Sicherheitslecks https://t.co/nNLklnMuLq #Chrome #Update
#Deutschland steht weltweit auf Platz 5 bei #Ransomware Angriffen: Welche Unternehmen sind am stärksten betroffen?https://t.co/fJ4NFB8L8C https://t.co/vdojRcYfY6
@BSI_Bund: Das @BMBF_Bund bietet ein Themenblatt für die IT-Sicherheitsinhalte der Jahre 2021/2022 aus den Förderprogrammen #HorizonEurope & #DigitalEurope an https://t.co/QK0gCDh8jM
Zu den Zielgruppen zählen Industrie, #KMU, #StartUp|s und öffentlicher Sektor.
#DeutschlandDigitalSicherBSI
#Sophos Firewalls: Kritische Sicherheitslücke wird angegriffen. Sicherheitsupdates sind bereits verfügbar https://t.co/rnlLVv6dWT #Sicherheitslücke https://t.co/cThPYdz2P7
@BSI_Bund: Im Arbeitsalltag muss es oft schnell gehen. Eine Situation, die sich Cyber-Kriminelle vor allem in Sachen CEO-Fraud gern zu Nutze machen. Was hinter dieser Betrugsmasche steckt - wir erklären es euch. #DeutschlandDigitalSicherBSI #ITSicherheit #Sicherheit https://t.co/pDNGgHjbkr
#Russland plant laut ukrainischem Verteidigungsministerium massive Cyberangriffe auf kritische Infrastrukturen der Ukraine und Alliierter. https://t.co/zM63EmOvfh https://t.co/KeVzlVnvsM
@DSAgentur: Datenleck in Pinneberg: Tausende Menschen im Kreis betroffen https://t.co/Q7MN1sBhoU https://t.co/Dlcl1f3so0
PC-Fernwartung NetSupport Manager ist in der Version 14 verfügbar. https://t.co/rMMtNl5w0v https://t.co/cfAvG9vHKD
1574381493069250568
Angreifer könnten DNS-Server bind lahmlegen | Security https://t.co/EK3FdT1wdC
Brute-Force-Schutz: Microsoft aktiviert Anmeldebegrenzung für SMB | Security https://t.co/doaW3zLsK1
50.000 Kundendaten betroffen
Fintech-Startup #Revolut wurde gehackt https://t.co/6kw45ZDNzm https://t.co/WmzT6Fta0V

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This