Hilft oder schadet ein Ablaufdatum für Passwörter Ihrer Passwortsicherheit?

Jahrzehntelang hielten Cybersicherheitsexperten an der Idee fest, dass Passwörter regelmäßig geändert werden müssen. In den letzten Jahren sind Organisationen wie BSI, NIST und Microsoft jedoch von dieser langjährigen Praxis abgerückt und raten nun davon ab, Passwörter zwingend ablaufen zu lassen.

Die Argumente gegen ein Ablaufdatum von Kennwörtern

Microsoft führt zwei Hauptgründe an, warum das regelmäßige Verfallen von Kennwörtern vermieden werden sollte.

Schnell reagierende Kriminelle lassen sich von Ihrer 90-Tage-Kennwortablaufrichtlinie nicht abschrecken

Erstens argumentiert das Unternehmen, dass planmäßige Kennwortänderungen nur wenig dazu beitragen, einen Eindringling daran zu hindern, sich Zugang zum Netzwerk eines Opfers zu verschaffen, da Bedrohungsakteure kompromittierte Kennwörter fast immer sofort nutzen.

In vielerlei Hinsicht ist der Diebstahl von Passwörtern mit dem Diebstahl von Kreditkarten vergleichbar. Wenn ein Krimineller eine Kreditkartennummer stiehlt, weiß er, dass er nur eine sehr begrenzte Zeit hat, bevor die Karte als gestohlen gemeldet und deaktiviert wird. Daher werden sie die gestohlene Karte in der Regel sofort benutzen. Der Diebstahl von Passwörtern funktioniert auf die gleiche Weise, da Bedrohungsakteure bestrebt sind, gestohlene Anmeldeinformationen auszunutzen, bevor kompromittierte Konten deaktiviert oder Passwörter geändert werden.

Endbenutzer sind es leid, unnötigerweise ein perfektes Passwort zu ändern

Der andere Grund, den Microsoft in seiner Empfehlung gegen das geplante Verfallen von Kennwörtern anführt, ist, dass Benutzer, die gezwungen sind, ihre Kennwörter regelmäßig zu ändern, viel eher dazu neigen, Kennwörter zu verwenden, die sowohl unsicher als auch vorhersehbar sind.

Diese Idee basiert auf einer Studie der University of North Carolina in Chapel Hill aus dem Jahr 2009. Da die meisten Netzwerke so konfiguriert sind, dass Konten nach einer geringen Anzahl falscher Kennworteingaben gesperrt werden, wollten die Forscher herausfinden, ob es möglich ist, einen Algorithmus zu entwickeln, der Kennwörter in fünf oder weniger Versuchen richtig erraten kann, wobei eines der früheren Kennwörter eines Benutzers als Ausgangspunkt dient.

Die Studie ergab, dass Benutzer, die gezwungen sind, ihre Passwörter regelmäßig zu ändern, häufig auf Umwandlungen zurückgreifen, anstatt ein völlig neues Passwort zu verwenden. Diese Umwandlungen können darin bestehen, dass ein Zeichen durch ein Symbol ersetzt wird (z. B. ein Dollarzeichen anstelle des Buchstabens S) oder eine Zahl an das Ende des Passworts angehängt wird.

Durch die Untersuchung von Tausenden von Kennwortverläufen konnten die Forscher feststellen, welche Arten von Umwandlungen von den Benutzern am häufigsten verwendet wurden. Anhand dieser Informationen haben sie einen Algorithmus entwickelt, der mit hoher Wahrscheinlichkeit das aktuelle Kennwort eines Benutzers auf der Grundlage eines früheren Kennworts in höchstens fünf Versuchen erraten kann.

Aus der Sicht von Microsoft ist es für einen Benutzer weitaus besser, ein starkes, aber unveränderliches Kennwort zu erstellen, als ein Kennwort zu erstellen, das kaum die minimalen Kennwortanforderungen des Unternehmens erfüllt, und dann jedes Mal kleine Änderungen an diesem Kennwort vorzunehmen, wenn das Unternehmen eine Änderung des Kennworts verlangt.

Was ist mit Empfehlungen anderer Organisationen zum Thema Kennwortsicherheit?

Obwohl weder das BSI, NIST noch Microsoft eine regelmäßige Änderung von Kennwörtern empfehlen, ist nicht jeder davon überzeugt. Die Herausgeber von Kreditkarten beispielsweise verlangen von allen Unternehmen, die Kreditkartenzahlungen akzeptieren, die Einhaltung der PCI DSS-Standards.

PCI DSS 4.0, das in Kraft tritt, wenn PCI DSS Version 3.2.1 im Jahr 2024 ausläuft, erfordert weiterhin regelmäßige Passwortänderungen. Die Version 4.0 der PCI DSS-Standards verlangt von Unternehmen die Verwendung von Passwörtern, die mindestens 12 Zeichen lang sind (mit einigen Ausnahmen), und dass diese mindestens alle 90 Tage geändert werden.

Ein umsetzbarer Kompromiss

Die Tatsache, dass Microsoft, BSI und NIST von der obligatorischen Änderung von Kennwörtern abraten, während andere Industriestandards wie PCI diese weiterhin vorschreiben, zeigt deutlich, dass es keine eindeutige Antwort auf die Frage gibt, ob erzwungene Kennwortänderungen eine gute Sache sind. Aber was wäre, wenn es eine Zwischenlösung gäbe?

Die Lösung steckt im längenbasierten Ablaufdatum der Passwörter.

Specops Password Policy unterstützt längenabhängige Ablaufdaten für Passwörtern, was vielleicht der goldene Mittelweg ist, den Unternehmen suchen. Der Grundgedanke hinter dieser Funktion steckt darin, dass eine Organisation Ihre Benutzer, die sichere Passwörter erstellen, mit weniger häufigen Passwortänderungen belohnt.

Oberflächlich betrachtet mag es zunächst den Anschein haben, als ob die längenbasierte Kennwortalterung das Problem nicht vollständig löst. Denn selbst ein Benutzer, der ein sehr sicheres Kennwort erstellt, muss dieses Kennwort irgendwann ändern und wird vermutlich eher auf Kennwortumwandlungen zurückgreifen, als ein völlig neues Kennwort zu erstellen. Der längenbasierte Kennwortverfall kann jedoch in Verbindung mit dem dynamischen Feedback bei der Kennworterstellung verwendet werden, sowie entsprechende Richtlinien mithilfe von Specops Password Policy eingerichtet werden, die das Problem der kleinen Abwandlungen von Passwörtern gemeinsam lösen.

Beenden Sie Unklarheiten beim Passwortwechsel mit dynamischem Feedback

Das dynamische Passwort-Feedback-Feature von Specops führt den Benutzer durch den Passwort-Reset-Prozess und zeigt ihm genau, was erforderlich ist, um die Passwort-Anforderungen des Unternehmens zu erfüllen. Dies gibt dem Unternehmen die Möglichkeit, eine Richtlinie zu erstellen, die die Verwendung von üblichen Passwortumwandlungen benutzerfreundlich verhindert. So werden Unklarheiten und die daraus resultierende Frustration der Benutzer vermieden.

Wenn das ursprüngliche Kennwort eines Benutzers beispielsweise MyP@$$w0rd1 lautet, könnte eine Kennwortrichtlinie den Benutzer daran hindern, das Kennwort in etwas wie MyP@$$w0rd123, MyP@$$w0rd2 oder MyPa$$word1 zu ändern. Da die Richtlinie den Benutzer daran hindert, gängige Umwandlungsmuster zu verwenden oder gar eine Mindestanzahl an Zeichen zu ändern, ist der Benutzer gezwungen, ein völlig neues und sicheres Kennwort zu verwenden.

Das Ziel ist es, eine starke Passwort-Policy mit einem Belohnungssystem für den Endbenutzer zu kombinieren, so dass das stärkere Passwort länger beibehalten wird, und eine Abschreckung durch minimale Passwortänderungen hinzuzufügen, ohne dass das IT-Team zusätzlich belastet wird.

Sie können Specops Password Policy in Ihrem Active Directory kostenlos und jederzeit testen. Nehmen Sie am besten noch heute Kontakt zu uns auf. Gemeinsam sorgen wir dafür, dass Ihre Passwörter und Passwortrichtlinien den aktuellsten Empfehlungen entsprechen!