Beiträge

Passwortänderung bringt keinen Sicherheitsgewinn

Zwang zur Passwortänderung bringt keinen Sicherheitsgewinn: Microsoft schafft Regeln ab

Regelmäßiger Wechsel des Passworts bringt keinen Zugewinn an Sicherheit. Zu diesem Schluss ist Microsoft gekommen und streicht ab der Version 1903 die entsprechende Empfehlungs-Richtlinie aus Windows 10 und Windows Server.

„Die regelmäßige Änderung eines Passworts ist eine veraltete Maßnahme von geringem Wert“ schreibt Aaron Margosis von Microsoft.

Es hat lange gedauert, bis die Meisten die Notwendigkeit der Anwendung eines komplexen Passworts  eingesehen und ein solches verwendet haben. Dann wurde der Zwang eingeführt, monatlich ein neues Passwort zu wählen. Also was taten die meisten Nutzer: das Passwort bekam Monat und Jahr, und änderte diesen Teil alle 30 Tage. Außerdem führte die häufige Passwortänderung dazu, dass die Leute einfachere Kennwörter wählen. Als die neuen Passwort-Regeln eingeführt wurden, explodierte der Aufwand für Passwort-Rücksetzungen, weil viele nach 2-3 Wochen zB Urlaubsabwesenheit ihr Passwort vergessen hatten oder nicht mehr wussten, bis zu welcher Nummer sie zuletzt hochgezählt hatten.

Endlich hat auch Microsoft eingesehen, dass Passwörter mit Verfallsdatum grober Unfug sind. Zwingt man die Leute zu allzu komplexen Passwörtern, die sie darüber hinaus noch regelmäßig ändern müssen, dann führt das zu den oben beschriebenen Verhaltensweisen – und natürlich auch dazu, dass ein Kennwort per PostIt am Bildschirm klebt oder von den besonders sicherheitsbewussten Mitarbeitern unter der Schreibtisch-Unterlage versteckt wird.

Ein Passwort mit Ablaufdatum schützt laut Microsoft nur gegen ein einziges Bedrohungs-Szenario: Nämlich gegen jenes, dass ein Passwort gestohlen wird. In einem solchen Fall ist selbst eine Frist von 30 Tagen noch lächerlich lang, denn im schlimmsten Fall kann ein Angreifer ein gestohlenes Passwort einen ganzen Monat lang benutzen.

Microsoft verweist darauf, dass es viele und bessere Möglichkeiten gibt, für mehr Passwort-Sicherheit zu sorgen, in dem man beispielsweise Multi-Faktor-Authentifizierung benutzt oder ungewöhnliche Login-Aktivitäten überwacht und blockiert. Wer diese Möglichkeiten ausschöpft, dem bietet ein ablaufendes Passwort nur noch minimale Vorteile, ohne die genannten Nachteile verschwinden zu lassen.

Geknackte Passwörter suchen

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Online-Dienst HaveIBeenPwned erweitert: Ab sofort kann man dort nicht nur geknackte Benutzernamen und Mailadressen ausfindig machen, sondern auch testen, ob ein bestimmtes Passwort (Klartext und SHA-1-Hash) bereits „verbrannt“ ist. Welche Nutzerkonten zu dem Passwort gehören, ist nicht ersichtlich.

Sicherer ist es in jedem Fall, ein Kennwort nicht online zu prüfen, sondern sich das Archiv herunterzuladen. Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde. Da Angreifer diese als Erstes ausprobieren, sollte man kompromittierte Passwörter nicht mehr verwenden.

Taucht ein Passwort nicht in dem Datensatz auf, bedeutet diese nicht automatisch, dass es sicher ist.

Quelle: Heise Medien