Microsoft hat vor Kurzem eine Aktualisierung der Richtlinie veröffentlicht, die viele Benutzer überrascht hat: Microsoft wird auf die langjährige Tradition der obligatorischen, regelmäßigen Passwortzurücksetzung verzichten. Im Mai 2019 gab Microsoft bekannt, dass die ablaufende Kennwortrichtlinie in den Grundeinstellungen der Sicherheitskonfiguration von Windows 10 Version 1903 und von Windows Server Version 1903 eliminiert wird.
In der vorherigen Richtlinie war festgelegt worden, dass sämtliche Kennwörter für den Zugriff auf die Benutzerkonten alle 42 Tage geändert werden müssen. Mit diesem Konzept sind die Benutzer gut vertraut. Aufgrund zunehmender Bedenken der Sicherheitsexperten und Änderungen der Richtlinie des US National Institute of Standards and Technologie hat sich Microsoft jetzt jedoch entschieden, seine Praktiken mit Rücksicht auf die nationalen Standards zu ändern.
Es sei angemerkt, dass Microsoft nicht plant, die Richtlinien in Bezug auf die Kennwortlänge, die Komplexität oder unsichere Kennwörter zu ändern. Es geht nur um die Aufhebung der planmäßigen Kennwortaktualisierungen.
Was hat Microsoft dazu veranlasst, seine Meinung zu ändern?
Es hatte sich herausgestellt, dass das regelmäßige Ändern des Anmeldekennworts das Gegenteil von dem bewirkte, was damit eigentlich beabsichtigt war. Die Aktualisierung des Kennworts sollte verhindern, dass möglicherweise gestohlene Passwörter verwendet werden. Paradoxerweise hat sie jedoch das Gegenteil bewirkt, die Sicherheit der Kennwörter wurde erheblich beeinträchtigt.
Die Aktualisierung in regelmäßigen Zeitabständen verletzt die Sicherheit der Benutzer aus drei wichtigen Gründen.
Die obligatorische Aktualisierung der Kennwörter führt dazu, dass die Kennwörter einfacher werden.
Es verwundert nicht, dass die Anforderung, das Kennwort dauernd zu aktualisieren oder zu ändern, dazu führt, dass die Kennwörter weniger komplex sind. Wenn die Unternehmen routinemäßig eine Kennwortänderung verlangen, ist die Folge in der Regel, dass die Benutzer ein alltägliches oder einfaches Kennwort wählen.
Der Microsoft-Sicherheitsberater Aaron Margosis erklärt das wie folgt:
„Wenn die Menschen gezwungen sind, ihr Kennwort zu ändern, nehmen sie allzu oft kleine und vorhersehbare Änderungen an vorhandenen Kennwörtern vor bzw. vergessen ihr neues Kennwort. Wenn Kennwörter oder die zugehörigen Hashes gestohlen werden, ist es in der Regel schwierig, die unbefugte Verwendung zu erkennen oder einzuschränken.“
Es wurde festgestellt, dass Benutzer, die gezwungen sind, regelmäßig neue Kennwörter, zu erstellen, zunehmend dazu neigen, vorhandene Kennwörter durch das Anhängen numerischer Zeichen an das alte Kennwort zu verändern oder dasselbe einfache Kennwort überall wiederzuverwenden. Beide Praktiken tragen wenig zur Sicherheit bei.
Willkürliche Kennwortaktualisierungen in bestimmten Zeitabständen haben keine bedeutsamen Vorteile für die Sicherheit.
Welche Logik steckt hinter der regelmäßigen Kennwortänderung? Das Konzept bedeutet zumindest theoretisch, dass, wenn eine Person es schafft, an Ihr Kennwort zu gelangen, und Sie es schließlich ändern, diese Person keinen Zugriff mehr auf Ihre Daten hat.
Microsoft schreibt ein Intervall von mindestens 42 Tagen vor. Das heißt, jemand könnte ca. sechs Wochen Ihr Kennwort haben. Das macht wenig Sinn, oder? Die Wahrheit ist, wenn es jemand schafft, an ihr gehashtes Kennwort zu gelangen, dauert es nicht fünf bis sechs Wochen, bis er diese Informationen verwendet, sondern höchstens Stunden bis zu einem Tag. Eine viel bessere Methode ist es, von Anfang an sicherzustellen, dass Hacker Ihre Informationen nicht erhalten. Cyber-Triage bedeutet, dass der Schwerpunkt auf Prävention liegen muss.
Margosis merkt dazu an:
„Es ist eine Tatsache, dass ein Kennwort wahrscheinlich gestohlen wird. Wie viele Tage sind die akzeptable Zeitspanne, in der Sie zulassen, dass der Dieb Ihr gestohlenes Passwort verwendet? Der Windows-Standards sind 42 Tage. Ist das nicht eine lächerlich lange Zeit?“
Die Unternehmen legen den Schwerpunkt auf die Einhaltung der Audit-Richtlinien, nicht auf die tatsächliche Sicherheit.
Merkwürdigerweise ist der letzte Grund für die Änderung die Tatsache, dass für viele Unternehmen die Compliance Vorrang hat vor der Sicherheit. Viele Firmen halten sich an die Sicherheitsrichtlinien von Microsoft. Darüber hinaus finden oft externe Überprüfungen Dritter statt. Sie stellen sicher, dass alle Unternehmen, die Microsoft verwenden, auf dem aktuellen Stand und konform mit den oben genannten Richtlinien sind. Es ist also eine verbreitete Praxis, die Sicherheitsrichtlinien von Microsoft möglichst streng einzuhalten, ohne zu berücksichtigen, wie sich das auf die Sicherheit auswirkt.
Sicherheit, Datenschutz und Privatsphäre sind eine sich ständig verändernde Landschaft in der Welt des Internets. Je mehr wir fortschreiten und je besser wir verstehen, was funktioniert und was nicht, umso mehr Änderungen sind zukünftig zu erwarten. Vielleicht werden wir eines Tages ganz auf Kennwörter verzichten.
