Die Mitarbeiter von Microsoft haben umgedacht. In der letzten Version ihrer Sicherheitsempfehlungen „Security Baseline“ wurde das automatische, zwingende Wechseln der Benutzerpasswörter nach 42, 60 oder 90 Tagen gestrichen.
Erzwungene regelmäßige Anderungen der Passwörter führen häufig zu unsicheren, da halbherzig ausgedachten, zum wiederholten Male oder für mehrere Accounts verwendeten Passwörtern. Gängig sind auch Passwortlisten in den Schubladen von Schreibtischen, auf denen bereits verwendete Passwörter einfach durchgestrichen werden. Microsoft nennt im Blogeintrag eben diese Gründe für die Streichung der Policies.
„Schon lange empfehlen wir als Mitglieder der IT-Secrity-Experts-Group in der Wirtschaftskammer Österreich nicht mehr, Benutzerpasswörter zwangsweise alle paar Wochen zu erneuern“, so Ing. Alfred Gunsch von der siplan gmbh. „Vielmehr wechselt man Passwörter bei Verdacht auf Mißbrauch, und dann nicht binnen einer (relativ langen) Frist von mehreren Wochen, sondern prompt“.
Microsoft weist darauf hin, dass die Security Baseline nur als Teil einer Sicherheitsstrategie, jedoch nicht als Komplettlösung betrachtet werden sollte. Die ersatzlose Streichung von Richtlinien bedeute keine Herabsetzung der Sicherheitsstandards; vielmehr sollten Unternehmen verstärkt eigene Maßnahmen zum Passwortschutz und zur Sicherung ihrer Infrastruktur ergreifen.
Wenn Sie Ihre Passwort-Regeln mit uns diskutieren wollen, melden Sie sich bitte hier.