Microsoft: Das regelmäßige Ändern von Passwörtern macht sie nicht sicherer.

Die allermeisten Unternehmen fordern von ihren Mitarbeitern, Passwörter alle 90 oder sogar 60 Tage zu ändern. Dass das den Anwender nervt, ist klar. Jedoch zeigen aktuelle Untersuchungen auch, dass das gewünschte Ziel „mehr Sicherheit“ nicht erreicht, sondern konterkariert wird. Die Anwender erstellen vorhersagbare, somit schlechtere und unsichere Passwörter.

Zu dieser Erkenntnis kommt nun offenbar auch Microsoft und bringt damit auch in Deutschland Bewegung in das Thema.

Microsoft entfernt Kennwortablaufrichtlinien

Neue NIST Empfehlungen für sichere Passwörter

• Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen).
• Passwörter sollen alle 90 Tage gewechselt werden.

Inzwischen ist klar geworden, dass sichere Passwörter so nicht funktionieren – das NIST hat die Vorgaben ersetzt.

Gemäß dem hier verlinkten neuen Regelwerk sollen Passwörter nur noch bei einem konkreten Sicherheitsvorfall geändert werden – die Forderung, Passwörter zwingend im 90 Tagesrhythmus zu ändern, ist beim NIST entfallen und offenbar in der direkten Konsequenz nunmehr auch bei Microsoft.

Meine Empfehlung:

• Dem Fazit von Microsoft und NIST können wir uns nur anschließen.
• Sollten Sie also in den nächsten Wochen mal wieder eine Aufforderung zur Passwort-Änderung erhalten, dann weisen Sie die IT-Abteilung einfach mal auf die neuen Empfehlungen hin.
• Wenn Sie als Administrator für die Umsetzung der Sicherheitsrichtlinien zuständig sind, können Sie unter Bezugnahme auf NIST und Microssoft Ihre eigenen Richtlinien, Dienstanweisungen und Betriebsvereinbarungen mit ruhigem Gewissen anpassen. Ihre Nutzer werden es Ihnen danken!